Leonardo Soto M. <[EMAIL PROTECTED]> wrote:
> On 9/21/07, Horst H. von Brand <[EMAIL PROTECTED]> wrote:
> > Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
>
> [...]
> > > Llevar un tracking de aquellos elementos que en un nombre de pila no
> > > serÃan permitidos pero en el campo "contenido" de un blog sà lo son,
> >
> > Bienvenido al mundo de "se requiere validar los datos"...
>
> Cuidado con pasarse de largo con las validaciones. Hoy leÃa a un tipo
> [1] muy enojado porque un sistemita de la lÃnea aerea en que iba a
> viajar encontró que tener un signo "+" en una dirección de correo no
> era válido. Y parece que tampoco le dejaban poner un guión ("-") en su
> nombre.
>
> [1] http://weblog.raganwald.com/2007/09/you-suck.html
Je.
Y el Sr. O (si, ese era su apellido completo) que tuvo lios porque se
valida "Apellido = Mayuscula + Minusculas". Etc.
Suficientes problemas tengo con mi apellido compuesto. Ya me imagino de
quienes son "de la Horra", o "Santo Domingo"...
Por lo demas, en el libro de expresiones regulares de O'Reilly aparece una
expresion que calza con direcciones de email... incompleta. Y tiene varias
/paginas/.
Si, validar no es facil. Y /siempre/ hay que calzar con lo que es valido y
descartar lo que no lo es (porque determinar todas las creativas formas en
que se pueden hacer "cosas interesantes" es imposible).
Bienvenido al mundo real, donde la parte del programa que hace el trabajo
es un 5 a 10% del total, el resto es validacion de entradas, lidiar con el
bendito usuario, y generar salida en formato "bonito".
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Sat Sep 22 01:22:40 2007
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Sat Sep 22 01:25:04 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
> Por error le envié el mensaje sólo al doc. reenvÃo a la lista.
>
> El 21/09/07, Rodrigo Fuentealba <[EMAIL PROTECTED]> escribió:
> > El 21/09/07, Horst H. von Brand <[EMAIL PROTECTED]> escribió:
> > > Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
> > > > El 21/09/07, Alvaro Herrera <[EMAIL PROTECTED]> escribió:
> > > > > Claudio Salazar escribió:
> > > >
> > > > Si te pones a pensar en todas las posibilidades, no es suficiente.
> > >
> > > Revisa <http://www.dwheeler.com/secure-programs> para una larga lista de
> > > sugerencias...
> > >
> >
> > Buen libro. Encontré varias personas en el instituto en el que me
> > matriculé (no quiero decir estudié, por basuras entremedio) que decÃan
> > que para validar datos era necesario el sentido común, cosa que está
> > mala por dos razones:
> >
> > 1.- No todos los seres humanos tienen sentido común. Los que carecen
> > completamente de ello reciben varios nombres, entre ellos:
> > "polÃticos", "periodistas de espectáculos" y "usuarios de Windows".
Para nuestros efectos, basta con "programador"...
> > 2.- No podemos pretender conocer todas las posibilidades de
> > validación, pues (un ejemplo nada más) en el caso del correo
> > electrónico hay un RFC que menciona los carácteres que debieran ser
> > válidos para las nominaciones de e-mails, pero un RFC puede ser
> > implementado correctamente o no por un cliente (aunque debiera!)
Si la direccion de correo es ilegal, el usuario tendra otros problemas que
no poder usar tu sistema...
> > > > Ponte a pensar en un trozo de código que quieres postear (pensando en
> > > > un blog, naturalmente; o en una aplicación de educación a distancia,
> > > > como una que estoy haciendo ahora).
> > >
> > > Si revisas las cosas que los blogs aguantan como tags en sus comentarios,
> > > suelen ser /muy/ limitados.
> >
> > Era un ejemplo nada más, no se me le enojesemele.
No estaba enojado... era una idea de donde buscar ideas (o poder piratear
codigo).
[Respecto "educacion a distancia"]
> > > [Por lo demas, estamos en la fase de "entusiasmo debordado,
> > > implementemos!" del ciclo de 5 an~os de esas cosas... en cosa
> > > de un an~o se daran cuenta (nuevamente) que no es /tan/ facil,
> > > luego pasan dos an~os para que a todos se les olvide el descalabro,
> > > y copmenzamos nuevamente por lo de "no seria buena idea"...]
> > KISS, DRY y algunas buenas técnicas de programación ayudan, ¿no?
No. Lo unico que ayuda es darse cuenta que problemas "de gente" no se
resuelven magicamente con "mecanismos tecnologicos". Pero reconocer eso es
impopular, y suele llevar a que a uno lo tilden de "pesimista incurable" y
"retrogrado"...
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Sat Sep 22 01:22:53 2007
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Sat Sep 22 01:25:17 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El 22/09/07, Horst H. von Brand <[EMAIL PROTECTED]> escribió:
> Leonardo Soto M. <[EMAIL PROTECTED]> wrote:
> > On 9/21/07, Horst H. von Brand <[EMAIL PROTECTED]> wrote:
> > > Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
> >
> > [...]
> > > > Llevar un tracking de aquellos elementos que en un nombre de pila no
> > > > serían permitidos pero en el campo "contenido" de un blog sí lo son,
> > >
> > > Bienvenido al mundo de "se requiere validar los datos"...
> >
> > Cuidado con pasarse de largo con las validaciones. Hoy leía a un tipo
> > [1] muy enojado porque un sistemita de la línea aerea en que iba a
> > viajar encontró que tener un signo "+" en una dirección de correo no
> > era válido. Y parece que tampoco le dejaban poner un guión ("-") en su
> > nombre.
> >
> > [1] http://weblog.raganwald.com/2007/09/you-suck.html
>
> Je.
>
> Y el Sr. O (si, ese era su apellido completo) que tuvo lios porque se
> valida "Apellido = Mayuscula + Minusculas". Etc.
Algo más trivial:
Creo que todos (al menos los chilenos) hemos llenado alguna vez la
famosa tabla "region_de_chile".
INSERT INTO regiones_de_chile (id, nombre) VALUES (6, 'Región del
Libertador Bernardo O'Higgins Riquelme');
Ups, la comilla simple... Es demasiado, pero demasiado trivial... pero
siempre que me toca, me tengo que detener un minuto y medio a dos para
pensar... ¿qué hice mal?
--
Rodrigo Fuentealba
