El 14/09/06, Jaime G. Wong<[EMAIL PROTECTED]> escribió:
Si magic_quotes_gpc estuviese activo y PHP automáticamente escapa la entrada GPC con backslashes, entonces hacer un addslashes va a agregarme *otros* backslashes adicionales.
La regla que yo sigo es esta: 1.- Hacer stripslashes de TODO lo que recibo de formularios 2.- Hacer addslashes a TODO lo que voy a grabar EN una base de datos ¿Porque? Porque si bien es cierto la inyección de SQL viene mayoritariamente de los formularios podria venir de alguna otra fuente de datos como archivos, feeds, etc. Ahora, tambien hay que tener cuidado con los bytes nulos. Pasar todo lo que viene de fuentes de datos externas por la función trim() ayuda a eliminarlos. PHP ya esta bastante parchado contra los bytes nulos pero otras aplicaciones que van a usar los datos dentro de nuestro sistema podrian tener problemas. La razón por la que son peligrosos es porque en lenguaje C justamente los bytes nulos indican el fin de una cadena y esto se presta para otra serie de trucos que buscan vulnerar la seguridad de la aplicación. En general, todos los que programamos con PHP deberiamos tener bien entendida y puesto en practica la guia disponible gratuitamente en PHPSec.org: http://phpsec.org/projects/guide/ Saludos, Antonio. _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
