Alvaro Herrera wrote:
> Cristian Rodriguez escribió:
>
>> El 19/10/06, Horst H. von Brand<[EMAIL PROTECTED]> escribió:
>>
>>
>>> Si, pero hay que tener /extremo/ cuidado con eso... segun vi por alli, las
>>> vulnerabilidades de XSS y SQL injection ya sobrepasaron las "tipicas" por
>>> (demasiado (descuidado)) uso de PHP y afines...
>>>
>> Se puede escrfibir software con agujeros de seguridad en cualquier lenguaje.
>> PHP provee todas las facilidades para evitar estos problemas pero una
>> cosa es que las tenga y la otra es que los programadores las usen...
>>
>
> No entiendo por que se empeñan en defender lo indefendible. Es cierto
> que en cualquier lenguaje puedes hacer las cosas mal, pero en PHP
> hacerlo mal es la forma mas obvia de hacerlo. Para hacerlo bien tienes
> que darte un gran trabajo.
>
nuevamente tu argumento se puede aplicar tambien por ejemplo a Linux.
hay que darse
un gran trabajo (ser ordenado) para mantener actualizado un servidor
Linux, muchos
no lo hacen y por eso los visitan sin pedirles permiso... es culpa del
sistema operativo o
sus servicios?? no pues... mantener un sistema seguro o desarrollar una
buena aplicacion
sale caro.
> Y aun asi, no faltara el sysadmin que active "register_globals" y en
> seguida tu aplicacion segura tiene miles de hoyos de seguridad.
>
si no se usa $_POST ni $_GET ni tampoco se validan los datos, obviamente
que si.
> PHP es un mal lenguaje, es un lenguaje para gente que no tiene idea lo
> que hace, o bien para gente que esta estancada y no tiene mas remedio
> (codigo heredado, etc). No conozco a nadie que haya aprendido PHP y
> despues otra cosa, y no haya terminado aborreciendo PHP. Los unicos que
> "aman" PHP son los que no conocen ninguna otra cosa.
hay de todo, como en todas partes y aplicable a todas las cosas. te
puedo nombrar
muchas aplicaciones web "exitosas" hechas en PHP (Wikipedia/MediaWiki,
Flickr,
Digg, Moodle, etc. etc.) con millones de usuarios diarios... me puedes
tu asegurar
que sus autores eligieron hacer esas aplicaciones en PHP porque no
conocian otra
cosa, ademas de que no tienen idea de lo que hacen?
conociendo el taman~o y el dinero involucrado en esos sitios/proyectos,
podrian haber
elegido cualquier otro lenguaje[*] como Perl, Python, Java, ASP, etc.
pero eligieron
PHP... curioso, no??
;)
[*] ojo que aca no aplica el contra-argumento del millon de moscas...
--
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)
From [EMAIL PROTECTED] Fri Oct 20 09:22:30 2006
From: [EMAIL PROTECTED] (Ricardo Mun~oz A.)
Date: Fri Oct 20 10:17:45 2006
Subject: Programar en Linux
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]><[EMAIL PROTECTED]
ptop13.inf.utfsm.cl><[EMAIL PROTECTED] l.com>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Rodrigo Fuentealba wrote:
> 2006/10/19, Cristian Rodriguez <[EMAIL PROTECTED]>:
>> El 19/10/06, Horst H. von Brand<[EMAIL PROTECTED]> escribió:
>>
>> > Si, pero hay que tener /extremo/ cuidado con eso... segun vi por
>> alli, las
>> > vulnerabilidades de XSS y SQL injection ya sobrepasaron las
>> "tipicas" por
>> > (demasiado (descuidado)) uso de PHP y afines...
>> >
>
> Las dos caras del PHP: permite a cualquier persona hacerse llamar
> "programador", dado que no es difícil crear cosas que funcionen...
lo mismo se puede decir de muchos otros lenguajes... o incluso de Linux!
cualquiera se hace llamar sysadmin, basta con instalar una distro, activar
un par de servicios y listo...
el problema no es del lenguaje ni del sistema operativo, sino de las
personas.
si no han tenido una buena formacion todo lo que hagan sera mediocre...
> hasta he visto programadores PHP que hasta se quiebran porque lo
> programan orientado a objetos pero no tienen idea de lo que es un
> Error 404... (peor aún, se ponen automáticamente en modo dumb = true
> cuando les dicen "tienes que escapar con \ las consultas SQL antes de
> mandarlas...")
magic_quotes_gpc sirve para hacer eso...
--
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)
From [EMAIL PROTECTED] Fri Oct 20 10:20:53 2006
From: [EMAIL PROTECTED] (Franco Catrin)
Date: Fri Oct 20 10:20:14 2006
Subject: Programar en Linux
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El vie, 20-10-2006 a las 00:00 -0300, Rodrigo Fuentealba escribió:
> 2006/10/19, Cristian Rodriguez <[EMAIL PROTECTED]>:
> > El 19/10/06, Alvaro Herrera<[EMAIL PROTECTED]> escribió:
> >
> > > No entiendo por que se empeñan en defender lo indefendible.
>
> Pues porque es indefendible para los que no lo conocen a fondo... Si
> es por eso, podríamos culpar a Kernighan y Ritchie por los buffer
> overflows, los problemas de \0 y otras cosas en C
[...]
Es muy diferente, C es un lenguaje orientado a la programación de
sistemas, en ese campo la alternativa es programar en assembler en donde
la situación es mas compleja.
Personalmente C siempre lo he visto como el mejor lenguaje de alto nivel
que te permite hacer cosas que sólo puedes hacer en lenguajes de bajo
nivel.
PHP tiene un monton de inconsistencias como lenguaje, y algunas malas
desiciones de diseño, como el uso de variables sin declarar. Para
muchas personas eso es una ventaja, pero para mi es una de sus peores
debilidades.
Conozco varios lenguajes de programación, no me considero precisamente
torpe a la hora de programar y con la mayoria de los lenguajes nunca he
tenido problemas (asm, c, pascal, java principalmente). Pero cuando
tengo que hacer algo en PHP me preparo mentalmente porque sé que tendre
que hacer muuuuuuuuuuuuchas pruebas antes de asegurarme que realmente la
cosa esta haciendo lo que necesito. En ese sentido encuentro PHP un
lenguaje sumamente improductivo cuando tienes que hacer algo complejo.
Si tienes que hacer algo trivial (como mi blog) sirve porque puedes
dejar andando algo rapido pero a la hora de mantenerlo es un parto.
--
Franco Catrin L. TUXPAN
http://www.tuxpan.com/fcatrin
