Evitar sql injection y xss
Claudio Salazar
csalazar en alumnos.inf.utfsm.cl
Mar Sep 25 18:06:50 CLT 2007
Ricardo Mun~oz A. escribió:
> Aldrin Gonzalo Martoq Ahumada wrote:
>
> [...]
>
>> El problema con el código que miré de CakePHP es que "no es ni chicha'
>> ni limona'. No es un ORM, no es una API a base de datos, no es una
>> framework de templates... es una mezcla de todo eso y parece que mucho
>> mas.
>>
>
> [...]
>
>> Y bueno, ahí me dió lata seguir leyendo...
>
> en las paginas 32-35 de la presentacion en [1] esta mucho mejor
> explicado como maneja Cake lo que es SQL injection, XSS, el manejo de
> la salida HTML, etc. el link al sitio de IBM solo descibe una clase
> opcional (Sanitize) que se puede usar en Cake. entonces, al parecer
> quedo la impresion de que en Cake se deben hacer muchas cosas a mano,
> pero no es asi. basicamente:
>
> - SQL injection -> pag. 32 (es automatico)
> - limpieza de HTML -> pag. 33 (es automatico)
> - XSS -> pag.35 (output de los datos de POST se limpian automaticamente)
>
> [1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf
>
Nunca podemos confiarnos tanto de software de terceros.
Tu sitio tiene vulnerabilidad XSS.
Te mande un mail.
Saludos.
Más información sobre la lista de distribución Linux