Evitar sql injection y xss
Ricardo Mun~oz A. escribió: > Aldrin Gonzalo Martoq Ahumada wrote: > > [...] > >> El problema con el código que miré de CakePHP es que "no es ni chicha' >> ni limona'. No es un ORM, no es una API a base de datos, no es una >> framework de templates... es una mezcla de todo eso y parece que mucho >> mas. >> > > [...] > >> Y bueno, ahí me dió lata seguir leyendo... > > en las paginas 32-35 de la presentacion en [1] esta mucho mejor > explicado como maneja Cake lo que es SQL injection, XSS, el manejo de > la salida HTML, etc. el link al sitio de IBM solo descibe una clase > opcional (Sanitize) que se puede usar en Cake. entonces, al parecer > quedo la impresion de que en Cake se deben hacer muchas cosas a mano, > pero no es asi. basicamente: > > - SQL injection -> pag. 32 (es automatico) > - limpieza de HTML -> pag. 33 (es automatico) > - XSS -> pag.35 (output de los datos de POST se limpian automaticamente) > > [1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf > Nunca podemos confiarnos tanto de software de terceros. Tu sitio tiene vulnerabilidad XSS. Te mande un mail. Saludos. From [EMAIL PROTECTED] Tue Sep 25 18:53:40 2007 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Tue Sep 25 18:56:13 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Leonardo Soto M. escribió: > > Habrá algo similar para PHP? (Smarty quizás?) > decenas de librerias hacen lo que tu quieres, hasta el inteprete lo puede hacer si gustas. -- "You don't have to burn books to destroy a culture. Just get people to stop reading them." --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research & Development From [EMAIL PROTECTED] Tue Sep 25 19:02:04 2007 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Tue Sep 25 19:04:36 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]><[EMAIL PROTECTED] l.gmail.com><[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Ricardo Mun~oz A. escribió: > shuata... entonces no tienes idea que CakePHP lo puedo ejecutar sin > problemas en PHP5? cual es la idea de de tanto FUD con respecto a Cake? No es FUD, si esta programado para una version del lenguaje obsoleta, llena de limitaciones y errores el resultado va a ser malo auqnue funcione el versiones posterioires. ç > ya que estas recomendando Symfony, le podrias indicar a Raul como > prevenir SQL injection usando ese framework? ejemplos sobran., hay un libro (tanto impreso como on-line) que trata el tema, lo puede ubicar facilmente por si mismo. -- "You don't have to burn books to destroy a culture. Just get people to stop reading them." --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research & Development From [EMAIL PROTECTED] Tue Sep 25 18:13:44 2007 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Tue Sep 25 19:58:15 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Fernando Fenando <[EMAIL PROTECTED]> wrote: [...] > Quiero exponer una idea... a ver si me ayudan a concretarla o desecharla :P > aqui va... > > proponer una arquitectura multiproposito (implementacion tb puede ser) > basada en agentes inteligentes para la organizacion en tiempo real de > activos moviles georeferenciados (aplicado empresas de logistica y > distribucion, servicios de emergencia, etc)... no se si me explico Demasiadas muchas cosas juntas... tu solo, en un tiempo /prudente/ no hace todo eso. Y respecto "proponer una arquitectura"... a cualquiera se le puede ocurrir una basada en que $COSA_TEORICAMENTE_IMPOSIBLE se hace sin problemas, asi que eso solo (sin implementar al menos un prototipo) /no/ te lo compran como tesis. Parte con ese grupo de ideas, bucea en tu biblioteca tecnica mas cercana (y si puedes, alguna(s) lejana(s)) en las revistas relevantes de los ultimos 2 an~os, cae encima de wikipedia y revisa a fondo las referencias que te de, encomiendate a San Google. Resume lo que halles, ve que problemas abiertos se repiten, ve que cosas claramente estan hechas en forma chapucera (y que tienen solucion viable a tu alcance!). Eso puede dar luces sobre un tema de tesis. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de InformaticaFono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513 From [EMAIL PROTECTED] Tue Sep 25 23:28:16 2007 From: [EMAIL PROTECTED] (Leonardo Soto M.) Date: Tue Sep 25 23:30:41 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAI
Evitar sql injection y xss
El 25/09/07, Leonardo Soto M. <[EMAIL PROTECTED]> escribió: > On 9/24/07, Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote: > > [...] > > Por estos días estoy jugando con Django (Python) también... el plugin > > era nada más una idea para que la implementara Graciela en su > > aplicación > > Apropósito: Los desarrolladores de Django ya decidieron que en todas > las plantillas se hará auto-escape por defecto (quizás en la versión > 0.97), pues los humanos somos demasiado malos econtrando las > vulnerabilidades XSS una por una (ver por ejemplo: > http://ha.ckers.org/blog/20070615/xss-irony/ ) > > Habrá algo similar para PHP? (Smarty quizás?) Smarty, PHPTAL, y el sistema de plantillas de Symfony, al menos esos conozco yo (pero te puedo asegurar que hay más de una docena). Me quedo con PHPTAL, aunque sea un lenguaje raro. -- Rodrigo Fuentealba
Evitar sql injection y xss
El 25/09/07, Leonardo Soto M. <[EMAIL PROTECTED]> escribió: > On 9/24/07, Alvaro Herrera <[EMAIL PROTECTED]> wrote: > [...] > > > Mi problema con el codigo de arriba es que es un ORM, ¿Por qué? Un ORM (visto a la ligera) no es más que meter propiedades en una clase, generar el SQL necesario para CRUD y ejecutarlo en la base de datos de tu gusto. Lo bueno es que, si está bien hecho, puedes hacer cosas buenas en varias bases de datos al mismo tiempo sin tanto truco. > > > > http://blogs.tedneward.com/2006/06/26/The+Vietnam+Of+Computer+Science.aspx > > Bah. También es cierto que los RDBMS no escalan demasiado bien. > Afortunadamente, para una trenenda proporción de los desarrollos, da > lo mismo si la lesera escala o no. ¿ah? Claro que si quieres hacer un sistema como Google, no puedes usar un RDBMS a menos que lo uses como índice de otro tipo de bases de datos, y hay ene formas de hacer que una aplicación realmente grande escale. > Así mismo, en una buena proporción de los desarrollos es buen negocio > sacrificar algo de flexibilidad por comodidad, y no hay drama en usar > un ORM. No entiendo por qué. -- Rodrigo Fuentealba
Evitar sql injection y xss
On 9/24/07, Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote: > [...] > Por estos días estoy jugando con Django (Python) también... el plugin > era nada más una idea para que la implementara Graciela en su > aplicación Apropósito: Los desarrolladores de Django ya decidieron que en todas las plantillas se hará auto-escape por defecto (quizás en la versión 0.97), pues los humanos somos demasiado malos econtrando las vulnerabilidades XSS una por una (ver por ejemplo: http://ha.ckers.org/blog/20070615/xss-irony/ ) Habrá algo similar para PHP? (Smarty quizás?) -- Leo Soto M.
Evitar sql injection y xss
On 9/24/07, Alvaro Herrera <[EMAIL PROTECTED]> wrote: [...] > Mi problema con el codigo de arriba es que es un ORM, > > http://blogs.tedneward.com/2006/06/26/The+Vietnam+Of+Computer+Science.aspx Bah. También es cierto que los RDBMS no escalan demasiado bien. Afortunadamente, para una trenenda proporción de los desarrollos, da lo mismo si la lesera escala o no. Así mismo, en una buena proporción de los desarrollos es buen negocio sacrificar algo de flexibilidad por comodidad, y no hay drama en usar un ORM. -- Leo Soto M.
Re: Invitación a HackMeeting 2007 nodo Santia go de Chile
On 9/25/07, Sven von Brand Laredo <[EMAIL PROTECTED]> wrote: > > Me extraña que se vaya a hacer esta "aktividad" en esa fecha, ya que > justamente esos > dias es el Encuentro Linux en Arica > http://2007.encuentrolinux.cl/ > Yo personalmente voy al Encuentro Linux Sip, que pena que se esten traslapando los dias. El HackMeeting se realiza de forma similar al Flisol, en varios lugares del mundo al mismo tiempo. Actualmente hay nodos en: 1) Gernika (asi se escribe), en Espanha. 2) Chicago, USA. 3) San Francisco, California, USA. 4) Santiago de Chile. 5) En Italia hay un nodo tambien, pero el HackMeeting ahi sera el fin de semana que viene. Aun no se si en latinoamerica hay mas nodos. Saludos. -- Morenisco. From [EMAIL PROTECTED] Tue Sep 25 13:51:49 2007 From: [EMAIL PROTECTED] (Ricardo Utreras Estrella) Date: Tue Sep 25 14:20:15 2007 Subject: IPSec en Red Hat AS 4 Message-ID: <[EMAIL PROTECTED]> Estimados: Configure con el asistente IPSec de Red Hat Enterprise 4.5 una VPN, pero al tratar de levantar la nueva interfase me aparece: "RTNETLINK answers: Invalid argument" Como puedo obtener mas detalles del porque se produce dicho error? OBS: No pille ninguna opcion "verbose" en el "ifup": #cat /etc/sysconfig/network-scripts/ifup |grep verbose # -- Saluda atte., Ricardo Utreras Estrella From [EMAIL PROTECTED] Tue Sep 25 14:34:15 2007 From: [EMAIL PROTECTED] (Jorge Palma) Date: Tue Sep 25 14:36:40 2007 Subject: monitoreo sip In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 9/25/07, Julio Saldivar <[EMAIL PROTECTED]> wrote: > el servidor seria uno externo, lo que quiero hacer es atrapar esa > informacion en la red local de los clientes sip. > > > > -- > voy a ser el mejor papá del mundo > y con la mejor mama. > > Si alguna vez > mi voz deja de escucharse > piensen que el bosque > hablará por mí > con su lenguaje de raíces. > Complicado lo que quieres hacer Mas fácil y preciso sería instalar un servidor SIP en la red local (puede ser un *) y recibir ahí tus llamadas, y colgar tus clientes a él.luego todo el tráfico sería grabado en el CDR, en texto o alguna BBDD SQL, y ahí puedes hacer lo que quieras con él Salu2 -- Jorge Palma Escobar Ingeniero de Sistemas Red Hat Linux Certified Engineer Certificate Nº 804005089418233
[OFFTOPIC] Apoyo en busca de tema de tesis doctoral
jajaja fernandoogle :P gracias por los tips ;) Quiero exponer una idea... a ver si me ayudan a concretarla o desecharla :P aqui va... proponer una arquitectura multiproposito (implementacion tb puede ser) basada en agentes inteligentes para la organizacion en tiempo real de activos moviles georeferenciados (aplicado empresas de logistica y distribucion, servicios de emergencia, etc)... no se si me explico Ejemplificando, imaginen un hospital con "n" ambulancias y "m" lugares que visitar... cual seria la mejor opcion para satisfacer la demanda de visitas? en que orden? por que caminos? si algun movil tiene un "percance", como puedo atenuar su efecto en el modelo organizativo y colaborativo de los demas moviles? MI idea properner una arquitectura capaz de responder esos temas, colaboracion de los distintos moviles para poder lograr el objetivo que es satisfacer la demanda de visitas en tiempo real (o casi). Yo trabajo en una empresa de rastreo satelital y desarrollo de software en torno a eso... y la verdad es que en el mercado lo mas parecido a una aplicacion de este estilo se limita a 1 solo movil que puede tomar desiciones o sugerir rutas (o soluciones al problema), pero no hay nada parecido a algo que sea capaz de organizar colaborativamente "n" moviles (personas, vehiculos, aviones, etc) para satisfacer una demanda de "m" destinos (solucionar un problema en conjunto). No se si se entiende... aun es un borrador bien mula... solo la idea aplicada al mundo real Espero sus aportes, dudas, sugerencias, criticas, lo que sea :P Gracias por su tiempo Bye! El día 25/09/07, Satoru Lucas Shindoi <[EMAIL PROTECTED]> escribió: > > El Sun, 23 Sep 2007 19:49:18 -0400 > "Fernando Fenando" <[EMAIL PROTECTED]> escribió: > > > Estimados Listeros, acudo a uds para pedirles apoyo, orientacion e ideas > > para encontrar un tema de tesis doctoral, yo tengo algunas ideas que > abarcan > > principalmente temas de agentes inteligentes y clusters de alta > > disponibilidad pero me gustaria tener otras visiones o nuevas ideas que > > puedan dar pie a un tema interesante en ambientes linux. > > > > Espero que puedan ayudarme con su experiencia y conocimientos. > > > > Atte, > > > > Fernando > > Fernando: > > No te voy a dar un tema en particular, solo un par de tips: > - Una tesis es una ""contribución al conocimiento"". > - Hay muchos temas/ideas con cosas pendientes, o problemas sin solución (o > con soluciones chapuzas). Quizás la mejor manera de cumplir el primer punto > es colaborando/corrigiendo/mejorando algunas de estas. > - Cierto "genio" (no recuerdo si Newton o Einstein) dijo que El no hubiera > llegado a nada, sin el conocimiento suministrado por sus antecesores (aka > "se subio" arriba de otros genios para ver mas allá). Remitiéndonos a los > puntos anteriores, hay tantos temas pendientes o mejorables en los que > trabajar > O mejor aún: algo totalmente nuevo... novedoso. > > Un abrazo > > PD: cuando tengas tu empresa tipo Google, avisame :-D > > -- > Satoru Lucas Shindoi - [EMAIL PROTECTED] > SysAdmin GNU/Linux, *NIX > Oficina (06 a 15 hs) 03783 463449 / 425612 > Particular (16 hs en adelante) 03783 459196 > ICQ: 95357247 - Gmail: [EMAIL PROTECTED] - [EMAIL PROTECTED] > Messenger: [EMAIL PROTECTED] - Yahoo: [EMAIL PROTECTED] > -- > Sistemas de Informacion - DPEC - https://www.dpec.com.ar/sistemas > Tixpert - www.tixpert.com.ar - Tecnología, Investigación, Experiencia. > Proyectos NEA - www.nea.org.ar > > From [EMAIL PROTECTED] Tue Sep 25 13:10:26 2007 From: [EMAIL PROTECTED] (Ismael Cantieri) Date: Tue Sep 25 13:12:52 2007 Subject: =?iso-8859-1?q?Re=3A_Invitaci=F3n_a_HackMeeting_2007_nodo_Santia?= =?iso-8859-1?q?go_de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Lastima que es el mismo fin de semana que el encuentro Linux. El día 25/09/07, Morenisco <[EMAIL PROTECTED]> escribió: > > On 9/25/07, Alvaro Avello <[EMAIL PROTECTED]> wrote: > [...] > > Es posible que la gente que se intereso en el e-mail entienda ese tipo > > de argot o terminología, y siendo así ... es respetable. > > > > Respetable es también expresarse para que la mayoría entienda lo que se > > quiere expresar...que creo se cumple de cierta forma en el e-mail.. > > Ahora..en lo personal también me complica..no tiene en lo personal algo > > llamativo o original reemplazar una letra...si alguien entiende > > mejor...fantástico que lo explique > > > Ke viva la libre expresion! :) > > Discusiones mas, discusiones menos, los invito a ver el programa del > evento > en: > > http://hackmeeting.entodaspartes.org/pmwiki.php?n=HM07.Itinerario > > Saludos! > > -- > Morenisco. > -- Ismael Cantieri www.cantieri.tk Linux user #409459 Ubuntu User # 9265 From [EMAIL PROTECTED] Tue Sep 25 13:29:57
Re: Invitación a HackMeeting 2007 nodo Santia go de Chile
On 9/25/07, Alvaro Avello <[EMAIL PROTECTED]> wrote: [...] Es posible que la gente que se intereso en el e-mail entienda ese tipo > de argot o terminología, y siendo así ... es respetable. > > Respetable es también expresarse para que la mayoría entienda lo que se > quiere expresar...que creo se cumple de cierta forma en el e-mail.. > Ahora..en lo personal también me complica..no tiene en lo personal algo > llamativo o original reemplazar una letra...si alguien entiende > mejor...fantástico que lo explique Ke viva la libre expresion! :) Discusiones mas, discusiones menos, los invito a ver el programa del evento en: http://hackmeeting.entodaspartes.org/pmwiki.php?n=HM07.Itinerario Saludos! -- Morenisco. From [EMAIL PROTECTED] Tue Sep 25 12:58:58 2007 From: [EMAIL PROTECTED] (Fernando Fenando) Date: Tue Sep 25 13:01:25 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Me interesa, pasame el dato ;) estoy abierto a todo tipo de ideas y sugerencias, gracias! El día 24/09/07, Miguel Oyarzo O. <[EMAIL PROTECTED]> escribió: > > At 19:49 23-09-2007, Fernando Fenando wrote: > >Estimados Listeros, acudo a uds para pedirles apoyo, orientacion e ideas > >para encontrar un tema de tesis doctoral, yo tengo algunas ideas que > abarcan > >principalmente temas de agentes inteligentes y clusters de alta > >disponibilidad pero me gustaria tener otras visiones o nuevas ideas que > >puedan dar pie a un tema interesante en ambientes linux. > > > >Espero que puedan ayudarme con su experiencia y conocimientos. > > > >Atte, > >Fernando > > > En año pasado en la universidad de Magallanes un ing. docente elaboró un > algoritmo de busqueda > multimedial. Al parecer los datos se almacenan en estructuras complejas > que pueden, incluso, encontrar datos en imagenes. > > Por lo que entiendo no hay aplicacion aun... quizas > puedas terminar esa obra en tu doctorado y publicarlo para el mundo. > > Si te interesa te paso el dato. > > Saludos, > > > Miguel Oyarzo > Austro Internet > Punta Arenas > > > > From [EMAIL PROTECTED] Tue Sep 25 13:03:40 2007 From: [EMAIL PROTECTED] (Sven von Brand Laredo) Date: Tue Sep 25 13:09:36 2007 Subject: =?iso-8859-1?q?Invitaci=F3n_a_HackMeeting_2007_nodo_Santiago_?= =?iso-8859-1?q?de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Me extraña que se vaya a hacer esta "aktividad" en esa fecha, ya que justamente esos dias es el Encuentro Linux en Arica http://2007.encuentrolinux.cl/ Yo personalmente voy al Encuentro Linux Saludos -- SvB From [EMAIL PROTECTED] Tue Sep 25 13:08:05 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Tue Sep 25 13:10:32 2007 Subject: =?iso-8859-1?q?Re=3A_Invitaci=F3n_a_HackMeeting_2007_nodo_Santia?= =?iso-8859-1?q?go_de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 25/09/07, Pedro GM <[EMAIL PROTECTED]> escribió: > Ricardo Albarracin B. escribió: > > El Martes 25 Septiembre 2007, Morenisco escribió: > >> Tiene ke ver con cosas como cultura libre (lo escribimos kultura libre), > >> hacklabs, etc.[.] > > > > Una cosa es ser libre, sentirse libre... y otra MUY distinta es escribor > > como las "wuifas" al menos hay que hacer lo posible para escribir un > > buen castellano. > > > > Saludos > Yo creo que fue un intento de publicidad, que no salio bien, concuerdo > que seria mejor si se escribiera bien, pero para que darle mas tribuna. > Esto que escribiré será Off Topic en el sentido que no tiene nada que ver con Linux. Podría ser tomado como una consideración para el futuro envío de mensajes de promoción a la lista. Hay que poner mucho ojo con los precedentes relacionados a esta clase de escritura. Recuerdo que hace un par de años atrás, alguien en una conferencia realizada por la RAE propuso eliminar del idioma castellano los sonidos "repetitivos" [1], que provocó una conmoción tal que casi le cuesta la filiación a la RAE y tuvo que retractarse de tal cosa en público. No debemos cometer los mismos errores. Cosa curiosa, "Microsoft tuvo influencia en esta clase de decisiones!!!". De todas maneras, esto es sólo para el registro. Espero que les vaya bien en el hackmeeting. [1] http://www.primepuzzles.net/alphabet.htm -- Rodrigo Fuentealba
Invitación a HackMeeting 2007 nodo Santiago de Chile
On Tue, 2007-09-25 at 10:48 -0400, Alvaro Herrera wrote: > Alejandro Weinstein escribió: > > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > > > [rant] > > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > > sin sentido. Debe ser que me estoy poniendo viejo. > > [/rant] > > No eres el uniqo. (Oops) > > Sobre todo para una convocatoria a un evento ... yo practicamente lo > salte sin leerlo al verlo lleno de k's. > Es posible que la gente que se intereso en el e-mail entienda ese tipo de argot o terminología, y siendo así ... es respetable. Respetable es también expresarse para que la mayoría entienda lo que se quiere expresar...que creo se cumple de cierta forma en el e-mail.. Ahora..en lo personal también me complica..no tiene en lo personal algo llamativo o original reemplazar una letra...si alguien entiende mejor...fantástico que lo explique Ojo con mi prejuicio ... creo que varios de nosotros seguimos siendo fieles al espíritu original del Hack...pero desde otra perspectiva. Saludos y que les vaya excelente.
Invitación a HackMeeting 2007 nodo Santiago de Chile
Ricardo Albarracin B. escribió: > El Martes 25 Septiembre 2007, Morenisco escribió: >> Tiene ke ver con cosas como cultura libre (lo escribimos kultura libre), >> hacklabs, etc.[.] > > Una cosa es ser libre, sentirse libre... y otra MUY distinta es escribor > como las "wuifas" al menos hay que hacer lo posible para escribir un > buen castellano. > > Saludos Yo creo que fue un intento de publicidad, que no salio bien, concuerdo que seria mejor si se escribiera bien, pero para que darle mas tribuna. From [EMAIL PROTECTED] Tue Sep 25 12:19:39 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Tue Sep 25 12:22:04 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 25/09/07, Ricardo Mun~oz A. <[EMAIL PROTECTED]> escribió: > Rodrigo Fuentealba wrote: > > El 24/09/07, Ricardo Mun~oz A. <[EMAIL PROTECTED]> escribió: > > > >> ADOdb para PHP permite hacer lo que mencionas. > >> > >> que tiene de feo el codigo de CakePHP? es solo tu gusto personal o > >> tienes algo concreto que aportar? > > > > ¿Que es para PHP 4 y no hace mucho uso de las funciones extendidas de > > PHP 5 como otros frameworks? > > > > no es solo para PHP4, funciona en PHP4 y PHP5. el no hacer uso de las > funciones extendidas de PHP5 segun tu porque es negativo? tienes un buen > argumento al respecto? Wake Up!!! PHP 5 es un lenguaje completamente nuevo, que tiene soporte para varias cosas de PHP 4 pero que dentro de sus gracias incluye iteradores y otras características de la orientación a objetos que lo hacen más seguro y organizado que PHP 4. Por alguna razón le están poniendo cuenta regresiva a PHP 4. > > Por estos días estoy jugando con Django (Python) también... el plugin > > era nada más una idea para que la implementara Graciela en su > > aplicación > > > > generalmente solo te dedicas a "jugar" o has desarrollado alguna > aplicacion (completa) usando algun framework MVC? No quiero conflictos de Currículum Vitae, eso déjaselo a los tipos de Microsoft que se pelean para el MVP. El término "jugar" implica que estoy aprendiendo a usarlo y para ello estoy programando estupideces encima; que pueden ser difíciles, exageradas o lo que sea, pero no son orientadas a producción. > > (¿por qué siempre termino discutiendo con Ricardo? Defiende a CakePHP > > como si lo hubiera hecho él!!!) > > > > si tienes algun problema lo podemos discutir por correo privado. Nah, no tengo ningún problema. Es un fenómeno repetido nada más. Si no es PHP, es la discusión sobre bases de datos. Al final cada uno usa lo que se le plazca o lo que le sirva más para su tarea, y en el caso de PHP a mí me sirve y me gusta más Symfony, Propel, Creole, File::PDF y los ezComponents. (hay más, pero eso es, en general, lo que uso para Web). -- Rodrigo Fuentealba
Re: Invitación a HackMeeting 2007 nodo Santia go de Chile
El día 25/09/07, Alvaro Herrera <[EMAIL PROTECTED]> escribió: > > Alejandro Weinstein escribió: > > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > > > [rant] > > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > > sin sentido. Debe ser que me estoy poniendo viejo. > > [/rant] > > No eres el uniqo. (Oops) > > Sobre todo para una convocatoria a un evento ... yo practicamente lo > salte sin leerlo al verlo lleno de k's. > > -- > Alvaro Herrera > http://www.advogato.org/person/alvherre > "Saca el libro que tu religión considere como el indicado para encontrar > la > oración que traiga paz a tu alma. Luego rebootea el computador > y ve si funciona" (Carlos Duclós) > es que son cabro tiyible locos :P From [EMAIL PROTECTED] Tue Sep 25 11:56:09 2007 From: [EMAIL PROTECTED] (Ricardo Mun~oz A.) Date: Tue Sep 25 11:59:40 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]><[EMAIL PROTECTED] l.gmail.com><[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Aldrin Gonzalo Martoq Ahumada wrote: [...] > El problema con el código que miré de CakePHP es que "no es ni chicha' > ni limona'. No es un ORM, no es una API a base de datos, no es una > framework de templates... es una mezcla de todo eso y parece que mucho > mas. > [...] > Y bueno, ahí me dió lata seguir leyendo... en las paginas 32-35 de la presentacion en [1] esta mucho mejor explicado como maneja Cake lo que es SQL injection, XSS, el manejo de la salida HTML, etc. el link al sitio de IBM solo descibe una clase opcional (Sanitize) que se puede usar en Cake. entonces, al parecer quedo la impresion de que en Cake se deben hacer muchas cosas a mano, pero no es asi. basicamente: - SQL injection -> pag. 32 (es automatico) - limpieza de HTML -> pag. 33 (es automatico) - XSS -> pag.35 (output de los datos de POST se limpian automaticamente) [1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf -- Ricardo Mun~oz A. Usuario Linux #182825 (counter.li.org) From [EMAIL PROTECTED] Tue Sep 25 11:31:43 2007 From: [EMAIL PROTECTED] (Morenisco) Date: Tue Sep 25 12:01:51 2007 Subject: =?iso-8859-1?q?Re=3A_Invitaci=F3n_a_HackMeeting_2007_nodo_Santia?= =?iso-8859-1?q?go_de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 9/25/07, kamus <[EMAIL PROTECTED]> wrote: [...] No, pensaba lo mismo mientra leía el anuncio : / > debe ser el *anarko * powa * Bueno, hay anarkos metidos en los hacklabs, personalmente no soy anarko, pero comparto con [EMAIL PROTECTED] la autogestion sobretodo, y otras cosas mas. Saludos. -- Morenisco. From [EMAIL PROTECTED] Tue Sep 25 12:10:11 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Tue Sep 25 12:12:37 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 25/09/07, Ricardo Mun~oz A. <[EMAIL PROTECTED]> escribió: > Rodrigo Fuentealba wrote: > > Sanitizar no es extremadamente malo. Bien usado, puede ser bueno, pero > > el sólo hecho de que el desarrollador deba sanitizar a mano cada uno > > de sus datos ya es un riesgo. > > > > y quien dijo que en Cake se debe hacer a mano? lee bien los mails antes > de responder tonteras... > $san = new Sanitize(); Eso tienes que ponerlo tú. Yo con Symfony me limito a escribir la query y luego pasarle un array con valores (que, claro, se sanitizan pero automágicamente, y no declarando tonteras como esa). Es la misma burrada que poner una query y después usar mysql_real_escape_char; se te olvida sanitizar una y crash! (aunque sea un poquito más difícil, no es imposible). -- Rodrigo Fuentealba
Invitación a HackMeeting 2007 nodo Santiago de Chile
El Martes 25 Septiembre 2007, Morenisco escribió: > Tiene ke ver con cosas como cultura libre (lo escribimos kultura libre), > hacklabs, etc.[.] Una cosa es ser libre, sentirse libre... y otra MUY distinta es escribor como las "wuifas" al menos hay que hacer lo posible para escribir un buen castellano. Saludos -- Atentamente. Electronica y Unix ++-+ | Ricardo Albarracin B. | electrolinux.dyndns.org | ++-+ |counter.li.org:#238.105 | Fono:(56-2) 3905536| ++ Fax: (56-2) 6882641| |emails: [EMAIL PROTECTED] | Agustinas 1022 Of.510 | | [EMAIL PROTECTED] |Santiago - CHILE | ++-+
Manuales de AIX
http://publibn.boulder.ibm.com/cgi-bin/ds_rslt Saludos On 9/25/07, Vida Luz Arista <[EMAIL PROTECTED]> wrote: > Hola todos, > > Donde puedo encontrar manuals de AIX ? > > Saludos, > > -- Carlos Barbiero Corrientes - Argentina From [EMAIL PROTECTED] Tue Sep 25 11:07:45 2007 From: [EMAIL PROTECTED] (Rossana Lopez) Date: Tue Sep 25 11:10:13 2007 Subject: Manuales de AIX In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Hola. Probablemente los mejores manuales de AIX son los que puedes encontrar en el sitio de redbooks http://www.redbooks.ibm.com De todos modos, ¿necesitas informacion practica para operar los system p o andas en busca de material de certificacion?. Escribeme por el correo personal a ver en que puedo ayudarte. On 9/25/07, Vida Luz Arista <[EMAIL PROTECTED]> wrote: > > Hola todos, > > Donde puedo encontrar manuals de AIX ? > > Saludos, > > -- Rossana Lopez T. <[EMAIL PROTECTED]> From [EMAIL PROTECTED] Tue Sep 25 10:52:07 2007 From: [EMAIL PROTECTED] (kamus) Date: Tue Sep 25 11:19:27 2007 Subject: =?iso-8859-1?q?Re=3A_Invitaci=F3n_a_HackMeeting_2007_nodo_Santia?= =?iso-8859-1?q?go_de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 9/25/07, Alejandro Weinstein <[EMAIL PROTECTED]> wrote: > > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > [rant] > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > sin sentido. Debe ser que me estoy poniendo viejo. > [/rant] > > Alejandro. > > No, pensaba lo mismo mientra leía el anuncio : / debe ser el *anarko * powa * Saludos anyway.. -- Victor Vargas B. www.linux-atacama.cl From [EMAIL PROTECTED] Tue Sep 25 11:19:21 2007 From: [EMAIL PROTECTED] (Alvaro Herrera) Date: Tue Sep 25 11:21:47 2007 Subject: =?iso-8859-1?q?Invitaci=F3n?= a HackMeeting 2007 nodo Santiago de Chile In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> usuario anonimo escribió: > El 25/09/07, Alvaro Herrera <[EMAIL PROTECTED]> escribió: > > Alejandro Weinstein escribió: > > > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > > > > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > > > > > [rant] > > > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > > > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > > > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > > > sin sentido. Debe ser que me estoy poniendo viejo. > > > [/rant] > > > > No eres el uniqo. (Oops) > > > > Sobre todo para una convocatoria a un evento ... yo practicamente lo > > salte sin leerlo al verlo lleno de k's. > > ¿ eso es algo así como un prejuicio ? Sí, eso justamente. -- Alvaro Herrera http://www.amazon.com/gp/registry/5ZYLFMCVHXC "In fact, the basic problem with Perl 5's subroutines is that they're not crufty enough, so the cruft leaks out into user-defined code instead, by the Conservation of Cruft Principle." (Larry Wall, Apocalypse 6) From [EMAIL PROTECTED] Tue Sep 25 11:32:37 2007 From: [EMAIL PROTECTED] (Julio Saldivar) Date: Tue Sep 25 11:35:08 2007 Subject: monitoreo sip Message-ID: <[EMAIL PROTECTED]> el servidor seria uno externo, lo que quiero hacer es atrapar esa informacion en la red local de los clientes sip. -- voy a ser el mejor papá del mundo y con la mejor mama. Si alguna vez mi voz deja de escucharse piensen que el bosque hablará por mí con su lenguaje de raíces. From [EMAIL PROTECTED] Tue Sep 25 11:23:56 2007 From: [EMAIL PROTECTED] (Ricardo Albarracin B.) Date: Tue Sep 25 11:55:29 2007 Subject: =?iso-8859-1?q?Invitaci=F3n_a_HackMeeting_2007_nodo_Santiago_?= =?iso-8859-1?q?de?= Chile In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El Martes 25 Septiembre 2007, Alejandro Weinstein escribió: > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > [rant] > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > sin sentido. Debe ser que me estoy poniendo viejo. > [/rant] No amigo..."_me_cargo_" tambien y no quise ni responder de hecho no siquiera querria ir al evento. > Alejandro. Saludos -- Atentamente. Electronica y Unix ++-+ | Ricardo Albarracin B. | electrolinux.dyndns.org | +
Invitación a HackMeeting 2007 nodo Santiago de Chile
Alejandro Weinstein escribió: > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > [rant] > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > sin sentido. Debe ser que me estoy poniendo viejo. > [/rant] No eres el uniqo. (Oops) Sobre todo para una convocatoria a un evento ... yo practicamente lo salte sin leerlo al verlo lleno de k's. -- Alvaro Herrerahttp://www.advogato.org/person/alvherre "Saca el libro que tu religión considere como el indicado para encontrar la oración que traiga paz a tu alma. Luego rebootea el computador y ve si funciona" (Carlos Duclós) From [EMAIL PROTECTED] Tue Sep 25 10:58:28 2007 From: [EMAIL PROTECTED] (Morenisco) Date: Tue Sep 25 11:00:53 2007 Subject: =?iso-8859-1?q?Re=3A_Invitaci=F3n_a_HackMeeting_2007_nodo_Santia?= =?iso-8859-1?q?go_de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 9/25/07, Alejandro Weinstein <[EMAIL PROTECTED]> wrote: > > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > [rant] > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > sin sentido. Tiene ke ver con cosas como cultura libre (lo escribimos kultura libre), hacklabs, etc. En la lista del hackmeeting discutimos como enviariamos el aviso, y hubo mas opiniones a favor de poner la k, pq nos identifica como grupo. Como todas las cosas, a algunos les gustara, a otros no.. |Debe ser que me estoy poniendo viejo. |[/rant] Es posible, aunque eso mas bien se puede interpretar como una actitud mental hacia algunas cosas. Personalmente gozo de muy buena ortografia, gracias a mi mama :) , aunque aqui omito las tildes... Saludos! -- Morenisco. From [EMAIL PROTECTED] Tue Sep 25 10:58:41 2007 From: [EMAIL PROTECTED] (Larry Letelier N.) Date: Tue Sep 25 11:01:08 2007 Subject: Manuales de AIX In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El día 25/09/07, Vida Luz Arista <[EMAIL PROTECTED]> escribió: > > Hola todos, > > Donde puedo encontrar manuals de AIX ? > > Saludos, > > Comienza mirando los "Enlaces Externos" de la sgte. Direccion http://es.wikipedia.org/wiki/AIX salud From [EMAIL PROTECTED] Tue Sep 25 11:05:11 2007 From: [EMAIL PROTECTED] (usuario anonimo) Date: Tue Sep 25 11:07:37 2007 Subject: =?iso-8859-1?q?Re=3A_Invitaci=F3n_a_HackMeeting_2007_nodo_Santia?= =?iso-8859-1?q?go_de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 25/09/07, Alvaro Herrera <[EMAIL PROTECTED]> escribió: > Alejandro Weinstein escribió: > > On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: > > > > [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] > > > > [rant] > > ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? > > Aunque en lo personal no gozo de una buena ortografia, y entiendo que > > uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro > > sin sentido. Debe ser que me estoy poniendo viejo. > > [/rant] > > No eres el uniqo. (Oops) > > Sobre todo para una convocatoria a un evento ... yo practicamente lo > salte sin leerlo al verlo lleno de k's. ¿ eso es algo así como un prejuicio ? > > -- > Alvaro Herrerahttp://www.advogato.org/person/alvherre > "Saca el libro que tu religión considere como el indicado para encontrar la > oración que traiga paz a tu alma. Luego rebootea el computador > y ve si funciona" (Carlos Duclós) > -- _ Solo soy una mente genial en un cuerpo
Manuales de AIX
Hola todos, Donde puedo encontrar manuals de AIX ? Saludos,
Evitar sql injection y xss
Cristian Rodriguez wrote: > Aldrin Gonzalo Martoq Ahumada escribió: > >> arg! Que codigo mas horrible. >> > > > en realidad no se ve bonito :P > > pero CakePHP tiene un pecado mortal, esta hecho en PHP4, una version del > lenguaje absolutamente obsoleta, llena de problemas, con un modelo de > objetos irrisorio (un verdedero chiste de mal gusto) y actualmente > abandonada a su suerte, utilizarlo es como cabalgar sobre un caballo > moribundo. > shuata... entonces no tienes idea que CakePHP lo puedo ejecutar sin problemas en PHP5? cual es la idea de de tanto FUD con respecto a Cake? > Para una solucion real, utilizar symfony, que esta hecho para PHP5, que > esta soportado, funciona y no tiene los errores de PHP4. > ya que estas recomendando Symfony, le podrias indicar a Raul como prevenir SQL injection usando ese framework? yo ya le di un ejemplo en Cake, indicale uno en Symfony para que seas un aporte al thread... ;) -- Ricardo Mun~oz A. Usuario Linux #182825 (counter.li.org) From [EMAIL PROTECTED] Tue Sep 25 10:37:30 2007 From: [EMAIL PROTECTED] (Alejandro Weinstein) Date: Tue Sep 25 10:39:56 2007 Subject: =?iso-8859-1?q?Re=3A_Invitaci=F3n_a_HackMeeting_2007_nodo_Santia?= =?iso-8859-1?q?go_de_Chile?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 9/24/07, Morenisco <[EMAIL PROTECTED]> wrote: [komunidad ,Oktubre, kompartir, acerkar, teknologías, *k*] [rant] ¿Soy solo yo el que encuentra reemplazar la c por k muy molesto? Aunque en lo personal no gozo de una buena ortografia, y entiendo que uno se puede equivocar, de ahi a ex profeso escribir mal, lo encuentro sin sentido. Debe ser que me estoy poniendo viejo. [/rant] Alejandro.
Evitar sql injection y xss
Rodrigo Fuentealba wrote:
> El 24/09/07, Aldrin Gonzalo Martoq Ahumada <[EMAIL PROTECTED]> escribió:
>
>> On 9/24/07, Alvaro Herrera <[EMAIL PROTECTED]> wrote:
>>
>>> Ricardo Mun~oz A. escribió:
>>>
>> $condiciones = array('nombres' => "LIKE %$nombres%", 'otro_campo' => "<>
>> $valor", etc.);
>> $this->set('clientes', $this->Cliente->findAll($condiciones));
>> ...
>>
ADOdb para PHP permite hacer lo que mencionas.
que tiene de feo el codigo de CakePHP? es solo tu gusto personal o tienes
algo concreto que aportar?
>> Lo que ví lo encontre pésimo. Me explico un poco más abajo.
>>
>>
>>> El codigo de arriba tiene un SQL injection, no?
>>> Mi problema con el codigo de arriba es que es un ORM,
>>>
>> El problema con el código que miré de CakePHP es que "no es ni chicha'
>> ni limona'. No es un ORM, no es una API a base de datos, no es una
>> framework de templates... es una mezcla de todo eso y parece que mucho
>> mas.
>>
[...]
>> 3. The Sanitize sql method
>> The sql method escapes some special characters in a string with
>> backslashes in order to prepare the string for use in a SQL statement.
>> Comentario: Igual que en el caso HTML, no tiene sentido proveer de una
>> API para escapar caracteres para la base de datos... al menos, no
>> publicarla externamente.
>>
>
> Sanitizar no es extremadamente malo. Bien usado, puede ser bueno, pero
> el sólo hecho de que el desarrollador deba sanitizar a mano cada uno
> de sus datos ya es un riesgo.
>
y quien dijo que en Cake se debe hacer a mano? lee bien los mails antes
de responder tonteras...
--
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)
From [EMAIL PROTECTED] Tue Sep 25 09:54:51 2007
From: [EMAIL PROTECTED] (Ricardo Mun~oz A.)
Date: Tue Sep 25 09:58:01 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]><[EMAIL PROTECTED] l.gmail.com><[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Rodrigo Fuentealba wrote:
> El 24/09/07, Ricardo Mun~oz A. <[EMAIL PROTECTED]> escribió:
>
>> ADOdb para PHP permite hacer lo que mencionas.
>>
>> que tiene de feo el codigo de CakePHP? es solo tu gusto personal o
>> tienes algo concreto que aportar?
>>
>>
>
> ¿Que es para PHP 4 y no hace mucho uso de las funciones extendidas de
> PHP 5 como otros frameworks?
>
no es solo para PHP4, funciona en PHP4 y PHP5. el no hacer uso de las
funciones extendidas de PHP5 segun tu porque es negativo? tienes un buen
argumento al respecto?
> Por estos días estoy jugando con Django (Python) también... el plugin
> era nada más una idea para que la implementara Graciela en su
> aplicación
>
generalmente solo te dedicas a "jugar" o has desarrollado alguna
aplicacion (completa) usando algun framework MVC?
> (¿por qué siempre termino discutiendo con Ricardo? Defiende a CakePHP
> como si lo hubiera hecho él!!!)
>
si tienes algun problema lo podemos discutir por correo privado.
--
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)
From [EMAIL PROTECTED] Tue Sep 25 09:18:48 2007
From: [EMAIL PROTECTED] (Satoru Lucas Shindoi)
Date: Tue Sep 25 10:00:59 2007
Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El Sun, 23 Sep 2007 19:49:18 -0400
"Fernando Fenando" <[EMAIL PROTECTED]> escribió:
> Estimados Listeros, acudo a uds para pedirles apoyo, orientacion e ideas
> para encontrar un tema de tesis doctoral, yo tengo algunas ideas que abarcan
> principalmente temas de agentes inteligentes y clusters de alta
> disponibilidad pero me gustaria tener otras visiones o nuevas ideas que
> puedan dar pie a un tema interesante en ambientes linux.
>
> Espero que puedan ayudarme con su experiencia y conocimientos.
>
> Atte,
>
> Fernando
Fernando:
No te voy a dar un tema en particular, solo un par de tips:
- Una tesis es una ""contribución al conocimiento"".
- Hay muchos temas/ideas con cosas pendientes, o problemas sin solución (o con
soluciones chapuzas). Quizás la mejor manera de cumplir el primer punto es
colaborando/corrigiendo/mejorando algunas de estas.
- Cierto "genio" (no recuerdo si Newton o Einstein) dijo que El no hubiera
llegado a nada, sin el conocimiento suministrado por sus antecesores (aka "se
subio" arriba de otros genios para ver mas allá). Remitiéndonos a los puntos
anteriores, hay tantos temas pendientes o mejorables en los que trabajar
O mejor aún: algo totalmente nuevo... novedoso.
Un abrazo
PD: cuando tengas tu empresa tipo Google, avisame :-D
--
Satoru Lucas Shindoi - [EMAIL PROTECTED]
SysAdmin GNU/Linux, *NIX
Oficina (06 a 15 hs) 03783 463449 / 425612
Particular (16 hs en adelante) 03783 459196
ICQ: 95357247 - Gmail: [EMAIL PROTECTED] - [EMAIL PROTECTED]
Messenger: [EMAIL PROTECTED] - Yahoo: [EMAIL PROTECTED]
--
samba + xcopy en windows y opcion /D (incremental)
Victor Hugo dos Santos escribió:
> ayer en la noche hice la siguiente prueba desde windows hacia el servidor
> samba:
>
> echo 123jhi7ad93qrno > temp1.txt
> echo 98 uq3r2319r8h df > temp2.txt
> echo 37qt8adivnskv234 > temp3.txt
> echo get0hbj o 4eafh3r > temp4.txt
>
> xcopy *.* \\servidor\carpeta /D
> 04 archivos copiados !!!
>
> xcopy *.* \\servidor\carpeta /D
> 02 archivos copiados !!!
>
> raro.. rarissimo !!! :-(
Que pasa si esperas un minuto entre ambas copias?
Lo que estoy pensando es que quizas la granularidad de las fechas no sea
muy buena.
--
Alvaro Herrera http://www.flickr.com/photos/alvherre/
"El que vive para el futuro es un iluso, y el que vive para el pasado,
un imbécil" (Luis Adler, "Los tripulantes de la noche")
From [EMAIL PROTECTED] Tue Sep 25 09:44:17 2007
From: [EMAIL PROTECTED] (Ricardo Mun~oz A.)
Date: Tue Sep 25 09:47:27 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]><[EMAIL PROTECTED] l.gmail.com><[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Aldrin Gonzalo Martoq Ahumada wrote:
> On 9/24/07, Alvaro Herrera <[EMAIL PROTECTED]> wrote:
>
>> Ricardo Mun~oz A. escribió:
>>
> $condiciones = array('nombres' => "LIKE %$nombres%", 'otro_campo' => "<>
> $valor", etc.);
> $this->set('clientes', $this->Cliente->findAll($condiciones));
> ...
>
>>> ADOdb para PHP permite hacer lo que mencionas.
>>> que tiene de feo el codigo de CakePHP? es solo tu gusto personal o tienes
>>> algo concreto que aportar?
>>>
>
> Lo que ví lo encontre pésimo. Me explico un poco más abajo.
>
>
>> El codigo de arriba tiene un SQL injection, no?
>> Mi problema con el codigo de arriba es que es un ORM,
>>
>
> El problema con el código que miré de CakePHP es que "no es ni chicha'
> ni limona'. No es un ORM, no es una API a base de datos, no es una
> framework de templates... es una mezcla de todo eso y parece que mucho
> mas.
>
ya, y?
> No hay separación entre los parámetros y el código... para explicarme
> mejor, poner sentencias SQL como "LIKE %nombre%" entre los parámetros
> es la misma chicha que llamar a algo del estilo:
> "where nombre='" + mysql_sanitize("pepe") + "'";
>
hmm... no entiendo tu ejemplo. podrias ser mas claro?
> Además, antes de responder fui a ver el link de CakeWalk que
> publicaste, encontré cosas del estilo (que cuentan como lo mejor del
> mundo):
>
> --- http://www.scribd.com/doc/5546/CakePHP-tutorial-no-3-from-IBM ---
> $san = new Sanitize();
> $clean = $san->paranoid($your_data, array('_','.'));
> NOTE: The paranoid method will strip out any spaces unless you pass '
> ' as an allowed character in the $allowedChars array.
> --
>
> No se si valga la pena comentar todos los problemas que acarrea este
> horrible ejemplo ... Así que prefiero separarlos por temas:
>
> 1. La transformación de datos es un tema.
> 2. La validación de datos es otro tema.
> 3. La persistencia de datos es otro tema.
>
>
>
> Si bien, no hay nada de malo en que CakePHP intenta solucionar los 3
> problemas, el error que vi en la implementación es que la
> especificación mezcla los conceptos, permitiendo el tipo de burradas
> como paranoid(). Ejemplos relativos a los temas 1, 2 y 3:
>
> 1. The Sanitize html method:
> The html method of Sanitize can pass two parameters: the string being
> Sanitized and an optional Boolean flag referred to as $remove.
>
> If $remove is set to true, the html method passes the string to the
> PHP function strip_tags, which will return the string minus any HTML
> tags. For example, strip_tags("Hello", true) will return the
> value Hello.
>
> If $remove is false or not set, then the html method replaces some
> characters with HTML entities.
> Specifically:
> is replaced with & &
> is replaced with % %
> is replaced with < <
> is replaced with > >
> is replaced with " "
> is replaced with ' '
> is replaced with ( (
> is replaced with ) )
> is replaced with + +
> is replaced with - -
> The html method uses preg_replace to perform these replacements
>
> Mi Comentario: Para que "sanitizar" la salida a HTML? Debes usar un
> framework de templates o algo similar, no estar declarando qué
> convertir y qué no...
>
el codigo del ejemplo va dentro de un Controlador. la Vista podria ser
HTML u otra cosa.
> 2. The Sanitize cleanArray method
> [..]
> While it would have been easy enough to state "cleanArray walks an
> array and cleans each value," it is important to understand what is
> being done behind the scenes to **_protect your data_**.
>
> Mi Comentario: Recalco "protect your data". Proteger la data es tema
> del negocio, no de una API o Framework. Lo que tu framework deb
samba + xcopy en windows y opcion /D (incremental)
El 24/09/07, Jorge Palma <[EMAIL PROTECTED]> escribió: > On 9/24/07, Victor Hugo dos Santos <[EMAIL PROTECTED]> wrote: > > hola señores, > > > > estoy encontrando un problema que ocurre entre un servidor Samba > > (3.0.24) en ubuntu server 7.04 y sus clientes windows con los > > softwares xcopy y xxcopy y la opcion /D (copiar solamente los archivos > > mas recientes). > > > > al migrar un script que utiliza xcopy para copiar los archivos desde > > los clientes al antiguo servidor NT, siempre vuelve a copiar todos los > > archivos desde el cliente hasta el servidor, independiente de la > > cantidad de veces y frecuencia que ejecute dicho script. > > > > intente ejecutar el comando manualemente > > xcopy *.* \\servidor\carpeta /D > > > > y continua el problema.. > > > > intente descargar el xxcopy que recomendaron en algunos sitios de > > internet y que es de un provedor distinto para descartar que el > > problema sea del xcopy, pero el problema continua. > > > > he visto algunas opciones de configuracion del Samba, que recomendaron > > en la web: > > dos filetimes = yes > > fake directory create times = yes > > dos filetime resolution = yes > > delete readonly = yes > > > > pero continua el problema... > > > > la hora del servidor esta sincronizada contra un servidor NTP externo > > y de los clientes esta sincronizado con el servidor (set time > > \\servidor /set /yes)...mmm.. ambos tienen la misma zona horaria... > > pero continua el problema. > > > > la verdad, es que estoy algo perdido... alguna luz ??? la idea es no instalar software adicional en los clientes y que el cambio sea el mas transparente posible !!! ayer en la noche hice la siguiente prueba desde windows hacia el servidor samba: echo 123jhi7ad93qrno > temp1.txt echo 98 uq3r2319r8h df > temp2.txt echo 37qt8adivnskv234 > temp3.txt echo get0hbj o 4eafh3r > temp4.txt xcopy *.* \\servidor\carpeta /D 04 archivos copiados !!! xcopy *.* \\servidor\carpeta /D 02 archivos copiados !!! raro.. rarissimo !!! :-( salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Invitación a HackMeeting 2007 nodo Santiago de Chile
[EMAIL PROTECTED], me es muy grato hacerles la siguiente invitacion :) Invitamos a la komunidad a participar del HackMeeting 2007 que se realizará en Santiago de Chile, los días 13, 14 y 15 de Oktubre. El HackMeeting es una instancia para kompartir, relacionarnos socialmente, y acerkar las teknologías a las personas. Es por esta razón, que este año hemos llamado hAck'prendiz a este evento, porke tenemos mucho ke aprender y habilidades por desarrollar, para poder utilizar adekuadamente las herramientas que las tecnologías de la información nos proveen, con el fin de hacer cambios positivos en nuestro entorno. No es importante ke sepas de computadores, sino más bien ke desees aprender y relacionarte socialmente, con un ánimo de kompartir y liberar el konocimiento. Te esperamos en KernelHouse, ubikado en Antonia López de Bello 157A, Rekoleta, Bellavista, Santiago. Información del programa, alojamiento y otros en http://hackmeeting.entodaspartes.org . Saludos! -- Morenisco. From [EMAIL PROTECTED] Tue Sep 25 00:20:33 2007 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Tue Sep 25 00:23:01 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Aldrin Gonzalo Martoq Ahumada escribió: > > arg! Que codigo mas horrible. en realidad no se ve bonito :P pero CakePHP tiene un pecado mortal, esta hecho en PHP4, una version del lenguaje absolutamente obsoleta, llena de problemas, con un modelo de objetos irrisorio (un verdedero chiste de mal gusto) y actualmente abandonada a su suerte, utilizarlo es como cabalgar sobre un caballo moribundo. Para una solucion real, utilizar symfony, que esta hecho para PHP5, que esta soportado, funciona y no tiene los errores de PHP4. > No hay algo como JDBC (Java) o DB-API (Python) para PHP ??? > existen mas de media docena de diferentes librerias en espacio de usuario y PDO en el interprete que permite hacer lo que tu quieres, que la gente no lo use, bueno.. es un porblema de los programadores.;) -- "You don't have to burn books to destroy a culture. Just get people to stop reading them." --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research & Development
