Peligros de PHP (era Re: Ejecucion de comando shell)
Cristian Rodriguez
cr en pagina10.cl
Vie Jun 11 12:50:32 CLT 2004
Con fecha 11/6/2004, "mramirez en iciuchile.cl" <mramirez en iciuchile.cl>
escribió:
>> Una regla general (no solo en PHP) es "nunca confiar en los datos
>> introducidos por el usuario". Por ejemplo, esto es suicidio:
>>
>> pg_query($con, "SELECT * FROM usuario WHERE login=$_GET['login']");
>>
>> $_GET['login'] viene directo del usuario y puede contener codigo malicioso
>> (ATFG por "sql injection"). Lo mismo es valido a la hora de ejecutar
>> programas con passthru(), etc.
>>
>> Este es solo un caso, mi recomendacion es que te documentes lo mas
>> posible. Puedes empezar por aqui:
>>
>
>OK, gracias por tu consejos, pero los datos a entrar validos son solo numeros.
r2 : usa intval para validar los numeros igual..
nunca confies en NIGUNA ENTRADA DE USUARIO.
>Ademas, la aplicacion solo la usara un solo usuario y el objetivo de la
>aplicacion es automatizar un proceso que a mano es larguisimo. Tampoco estara
>la aplicacion disponible en Internet, asi que la seguridad la podemos relajar.
>
>La documentacion de seguridad la leere una vez que la cuestion me funcione.
>
>Es posible ver ejemplos de implementacion? Alguien lo ha hecho? El tiempo y el
>jefe ya me liquidan!!!!
>
>Salu2 a to2
Más información sobre la lista de distribución PHP