Ricardo Mun~oz A. escribió:
> Aldrin Gonzalo Martoq Ahumada wrote:
>
> [...]
>
>> El problema con el código que miré de CakePHP es que "no es ni chicha'
>> ni limona'. No es un ORM, no es una API a base de datos, no es una
>> framework de templates... es una mezcla de todo eso y parece que mucho
>> mas.
>>
>
> [...]
>
>> Y bueno, ahí me dió lata seguir leyendo...
>
> en las paginas 32-35 de la presentacion en [1] esta mucho mejor
> explicado como maneja Cake lo que es SQL injection, XSS, el manejo de
> la salida HTML, etc. el link al sitio de IBM solo descibe una clase
> opcional (Sanitize) que se puede usar en Cake. entonces, al parecer
> quedo la impresion de que en Cake se deben hacer muchas cosas a mano,
> pero no es asi. basicamente:
>
> - SQL injection -> pag. 32 (es automatico)
> - limpieza de HTML -> pag. 33 (es automatico)
> - XSS -> pag.35 (output de los datos de POST se limpian automaticamente)
>
> [1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf
>
Nunca podemos confiarnos tanto de software de terceros.
Tu sitio tiene vulnerabilidad XSS.
Te mande un mail.
Saludos.
From [EMAIL PROTECTED] Tue Sep 25 18:53:40 2007
From: [EMAIL PROTECTED] (Cristian Rodriguez)
Date: Tue Sep 25 18:56:13 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Leonardo Soto M. escribió:
>
> Habrá algo similar para PHP? (Smarty quizás?)
>
decenas de librerias hacen lo que tu quieres, hasta el inteprete lo
puede hacer si gustas.
--
"You don't have to burn books to destroy a culture. Just get people to
stop reading them." --Ray Bradbury
Cristian Rodríguez R.
SUSE LINUX Products GmbH
Research & Development
From [EMAIL PROTECTED] Tue Sep 25 19:02:04 2007
From: [EMAIL PROTECTED] (Cristian Rodriguez)
Date: Tue Sep 25 19:04:36 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]><[EMAIL PROTECTED]
l.gmail.com> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Ricardo Mun~oz A. escribió:
> shuata... entonces no tienes idea que CakePHP lo puedo ejecutar sin
> problemas en PHP5? cual es la idea de de tanto FUD con respecto a Cake?
No es FUD, si esta programado para una version del lenguaje obsoleta,
llena de limitaciones y errores el resultado va a ser malo auqnue
funcione el versiones posterioires.
ç
> ya que estas recomendando Symfony, le podrias indicar a Raul como
> prevenir SQL injection usando ese framework?
ejemplos sobran., hay un libro (tanto impreso como on-line) que trata el
tema, lo puede ubicar facilmente por si mismo.
--
"You don't have to burn books to destroy a culture. Just get people to
stop reading them." --Ray Bradbury
Cristian Rodríguez R.
SUSE LINUX Products GmbH
Research & Development
From [EMAIL PROTECTED] Tue Sep 25 18:13:44 2007
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Tue Sep 25 19:58:15 2007
Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Fernando Fenando <[EMAIL PROTECTED]> wrote:
[...]
> Quiero exponer una idea... a ver si me ayudan a concretarla o desecharla :P
> aqui va...
>
> proponer una arquitectura multiproposito (implementacion tb puede ser)
> basada en agentes inteligentes para la organizacion en tiempo real de
> activos moviles georeferenciados (aplicado empresas de logistica y
> distribucion, servicios de emergencia, etc)... no se si me explico
Demasiadas muchas cosas juntas... tu solo, en un tiempo /prudente/ no hace
todo eso. Y respecto "proponer una arquitectura"... a cualquiera se le
puede ocurrir una basada en que $COSA_TEORICAMENTE_IMPOSIBLE se hace sin
problemas, asi que eso solo (sin implementar al menos un prototipo) /no/ te
lo compran como tesis.
Parte con ese grupo de ideas, bucea en tu biblioteca tecnica mas cercana (y
si puedes, alguna(s) lejana(s)) en las revistas relevantes de los ultimos 2
an~os, cae encima de wikipedia y revisa a fondo las referencias que te de,
encomiendate a San Google. Resume lo que halles, ve que problemas abiertos
se repiten, ve que cosas claramente estan hechas en forma chapucera (y que
tienen solucion viable a tu alcance!). Eso puede dar luces sobre un tema de
tesis.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Tue Sep 25 23:28:16 2007
From: [EMAIL PROTECTED] (Leonardo Soto M.)
Date: Tue Sep 25 23:30:41 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
On 9/25/07, Cristian Rodriguez <[EMAIL PROTECTED]> wrote:
> Leonardo Soto M. escribió:
>
> >
> > Habrá algo similar para PHP? (Smarty quizás?)
> >
>
> decenas de librerias hacen lo que tu quieres, hasta el inteprete lo
> puede hacer si gustas.
Seguro?. Ojo, que la solución práctica no es tan simple como
"escapemos todo el HTML que aparezca". También debe existir un
mecanismo para que se pueda incluir HTML cuando el desarrollador lo
necesite.
Ah, y también es ideal que exista la flexibilidad para desactivar
programáticamente el autoescapado, cuando se quieren usar las
plantillas para generar otras cosas que no sean HTML.
[No, no es que /yo/ esté buscando esto en PHP. Es simplemente lo que
está disponible en otros lados, y conocer los equivalentes para PHP
puede ayudar a quien inicio el thread]
--
Leo Soto M.
