Evitar sql injection y xss
Ricardo Mun~oz A.
rmunoz en pjud.cl
Mie Sep 26 09:28:38 CLT 2007
Claudio Salazar wrote:
> Ricardo Mun~oz A. escribió:
>> Aldrin Gonzalo Martoq Ahumada wrote:
>>
>> [...]
>>
>>> El problema con el código que miré de CakePHP es que "no es ni chicha'
>>> ni limona'. No es un ORM, no es una API a base de datos, no es una
>>> framework de templates... es una mezcla de todo eso y parece que mucho
>>> mas.
>>>
>>
>> [...]
>>
>>> Y bueno, ahí me dió lata seguir leyendo...
>>
>> en las paginas 32-35 de la presentacion en [1] esta mucho mejor
>> explicado como maneja Cake lo que es SQL injection, XSS, el manejo de
>> la salida HTML, etc. el link al sitio de IBM solo descibe una clase
>> opcional (Sanitize) que se puede usar en Cake. entonces, al parecer
>> quedo la impresion de que en Cake se deben hacer muchas cosas a mano,
>> pero no es asi. basicamente:
>>
>> - SQL injection -> pag. 32 (es automatico)
>> - limpieza de HTML -> pag. 33 (es automatico)
>> - XSS -> pag.35 (output de los datos de POST se limpian automaticamente)
>>
>> [1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf
>>
> Nunca podemos confiarnos tanto de software de terceros.
> Tu sitio tiene vulnerabilidad XSS.
cual sitio?
> Te mande un mail.
no me ha llegado mail tuyo.
--
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)
Más información sobre la lista de distribución Linux