Evitar sql injection y xss

Rodrigo Fuentealba darkprox en gmail.com
Mar Sep 25 12:10:11 CLT 2007


El 25/09/07, Ricardo Mun~oz A. <rmunoz en pjud.cl> escribió:
> Rodrigo Fuentealba wrote:
> > Sanitizar no es extremadamente malo. Bien usado, puede ser bueno, pero
> > el sólo hecho de que el desarrollador deba sanitizar a mano cada uno
> > de sus datos ya es un riesgo.
> >
>
> y quien dijo que en Cake se debe hacer a mano? lee bien los mails antes
> de responder tonteras...
>

$san = new Sanitize();

Eso tienes que ponerlo tú. Yo con Symfony me limito a escribir la
query y luego pasarle un array con valores (que, claro, se sanitizan
pero automágicamente, y no declarando tonteras como esa).

Es la misma burrada que poner una query y después usar
mysql_real_escape_char; se te olvida sanitizar una y crash! (aunque
sea un poquito más difícil, no es imposible).

-- 
Rodrigo Fuentealba



Más información sobre la lista de distribución Linux