Evitar sql injection y xss

Ricardo Mun~oz A. rmunoz en pjud.cl
Jue Sep 27 11:43:50 CLT 2007 

Aldrin Gonzalo Martoq Ahumada wrote:
> On 9/26/07, Alvaro Herrera <alvherre en alvh.no-ip.org> wrote:
>   
>> En Postgres, si el problema de seguridad requiere un cambio en el
>> codigo que significa perdida de compatibilidad hacia atras, se hace.  La
>> compatibilidad hacia atras es muy importante y se valora mucho, pero la
>> seguridad se valora mucho mas.
>>     
>
> Quiero secundar la opinion de Alvaro. No estoy diciendo que la
> solucion es algo fuertemente tipado (como Java, que es otro cuento tan
> complejo que al final terminas teniendo los mismo problemas de algo
> mas "liberal").
>
> El problema del codigo PHP es que sigue siendo igual de malo en el
> sentido de los resultados que permite. Basta ver todos los phpnuke
> botados en todos estos an~os, ver la cantidad de esfuerzo que se gasto
> en tratar de mejorar la situacion y aun asi deben haber miles de hoyos
> "por descubrir" hasta el dia de hoy.
>   

obvio que hay miles de hoyos "por descrubrir", como en cualquier otro 
software. es un proceso de nunca acabar. la eleccion de un lenguaje para 
el desarrollo de un proyecto no depende de los miles de hoyos por 
descrubrir de ese lenguaje, hay otros factores mucho mas relevantes.

> Y esto es anti-natura de una de las mejores caracteristicas que ha
> seguido todo el software libre: reinventarse botando a la basura (sin
> asco) las cosas malas y horribles. Uno de los ultimos ejemplos es
> Python3k, y es una de las cosas que mas me agrada y valoro; basta ver
> toda la mi*rda que trae windows "para poder correr la aplicacion DOS
> de facturas de hace 20 an~os".
>   

IMHO entre mas se acerque el software libre al mundo de los negocios, 
mas lejano quedara la caracteristica de "reinventarse" que describes...

> El CakePHP es malo porque permite escribir las leseras de ejemplos que
> salian en el articulo. Esos ejemplos eran horribles. No por los
> problemas que solucionan, sino por la cantidad de resultados
> "inesperados" que generan. Esos resultados inesperados pueden ir desde
> no poder escribir el apellido compuesto de Horst von Brand hasta
> dramas serios de seguridad o integridad de datos.
>
> Eso es lo malo, eso debe botarse a la basura, por favor!!
>
>   

cuales dramas serios de seguridad o integridad de datos? tienes un 
ejemplo concreto o solo eres aficionado al FUD al igual que otros?

-- 
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)

Más información sobre la lista de distribución Linux