Evitar sql injection y xss

Aldrin Gonzalo Martoq Ahumada amartoq en dcc.uchile.cl
Mie Sep 26 23:52:16 CLT 2007


On 9/26/07, Alvaro Herrera <alvherre en alvh.no-ip.org> wrote:
> En Postgres, si el problema de seguridad requiere un cambio en el
> codigo que significa perdida de compatibilidad hacia atras, se hace.  La
> compatibilidad hacia atras es muy importante y se valora mucho, pero la
> seguridad se valora mucho mas.

Quiero secundar la opinion de Alvaro. No estoy diciendo que la
solucion es algo fuertemente tipado (como Java, que es otro cuento tan
complejo que al final terminas teniendo los mismo problemas de algo
mas "liberal").

El problema del codigo PHP es que sigue siendo igual de malo en el
sentido de los resultados que permite. Basta ver todos los phpnuke
botados en todos estos an~os, ver la cantidad de esfuerzo que se gasto
en tratar de mejorar la situacion y aun asi deben haber miles de hoyos
"por descubrir" hasta el dia de hoy.

Y esto es anti-natura de una de las mejores caracteristicas que ha
seguido todo el software libre: reinventarse botando a la basura (sin
asco) las cosas malas y horribles. Uno de los ultimos ejemplos es
Python3k, y es una de las cosas que mas me agrada y valoro; basta ver
toda la mi*rda que trae windows "para poder correr la aplicacion DOS
de facturas de hace 20 an~os".


El CakePHP es malo porque permite escribir las leseras de ejemplos que
salian en el articulo. Esos ejemplos eran horribles. No por los
problemas que solucionan, sino por la cantidad de resultados
"inesperados" que generan. Esos resultados inesperados pueden ir desde
no poder escribir el apellido compuesto de Horst von Brand hasta
dramas serios de seguridad o integridad de datos.

Eso es lo malo, eso debe botarse a la basura, por favor!!

-- 
Aldrin Martoq


Más información sobre la lista de distribución Linux