Peligros de PHP (era Re: Ejecucion de comando shell)
mramirez en iciuchile.cl
mramirez en iciuchile.cl
Vie Jun 11 12:05:19 CLT 2004
> Una regla general (no solo en PHP) es "nunca confiar en los datos
> introducidos por el usuario". Por ejemplo, esto es suicidio:
>
> pg_query($con, "SELECT * FROM usuario WHERE login=$_GET['login']");
>
> $_GET['login'] viene directo del usuario y puede contener codigo malicioso
> (ATFG por "sql injection"). Lo mismo es valido a la hora de ejecutar
> programas con passthru(), etc.
>
> Este es solo un caso, mi recomendacion es que te documentes lo mas
> posible. Puedes empezar por aqui:
>
OK, gracias por tu consejos, pero los datos a entrar validos son solo numeros.
Ademas, la aplicacion solo la usara un solo usuario y el objetivo de la
aplicacion es automatizar un proceso que a mano es larguisimo. Tampoco estara
la aplicacion disponible en Internet, asi que la seguridad la podemos relajar.
La documentacion de seguridad la leere una vez que la cuestion me funcione.
Es posible ver ejemplos de implementacion? Alguien lo ha hecho? El tiempo y el
jefe ya me liquidan!!!!
Salu2 a to2
Más información sobre la lista de distribución PHP