Peligros de PHP (era Re: Ejecucion de comando shell)

[Juan M. Cataldo S.]

Luis Roa dijo:
> En una consulta hecha por mi, una de las respuestas contenia la misma
> palabra: (peligroso).  agradeciendo la advertencia, ¿serìa mucho pedir
> una aclaraciòn al respecto ?

Una regla general (no solo en PHP) es "nunca confiar en los datos 
introducidos por el usuario". Por ejemplo, esto es suicidio:

pg_query($con, "SELECT * FROM usuario WHERE login=$_GET['login']");

$_GET['login'] viene directo del usuario y puede contener codigo malicioso 
(ATFG por "sql injection"). Lo mismo es valido a la hora de ejecutar 
programas con passthru(), etc.

Este es solo un caso, mi recomendacion es que te documentes lo mas 
posible. Puedes empezar por aqui:

http://cl.php.net/manual/en/security.index.php

> Mi motivo es que despuès de que la lectura de mensajes y articulos en
> la web me convenciò de usar PHP, ayer me inscribì en la lista y estoy
> intentando hacer algunas cosas, pero me encuentro con estas
> advertencias y no capto el motivo especifico.

En la mayoria de los lenguajes la programacion deberia considerar aspectos 
de seguridad; tal vez lo que haga critico esto en PHP es la facilidad con 
la que un cracker puede acceder a tus programas desde cualquier parte del 
mundo.

> Si se menciona el motivo especifico, y el riesgo desaparece con una
> adecuada programaciòn, serìa interesante saber donde hay que tener
> especial cuidado.

En la referencia que te di arriba hay mas informacion al respecto.

-- 
Juan M. Cataldo Sepulveda           mailto:jcataldo en inf.utfsm.cl
                               http://www.inf.utfsm.cl/~jcataldo
Unidad de Servicios de Computacion e Internet - DI, UTFSM, Chile
And following our will and wind we may just go where no one's been.