Rodrigo Fuentealba escribió: > 2006/12/21, Alvaro Herrera <[EMAIL PROTECTED]>: > >Cristian Rodriguez escribió: > > > >> Te invioto cordialmente a que me ilumines (por favor) que agujero de > >> seguridad tiene PHP en si mismo, > > > >magic_quotes > > [viene en off por omision] > > Es una pifia de seguridad mantenida por compatibilidad, pero por > defecto viene en Off. Hay que leer...
No hay nada que leer. El lenguaje provee una funcionalidad tal, que si la activas en una aplicacion, rompes los supuestos de seguridad de la aplicacion de al lado (y por lo tanto queda sujeta a ataques de inyeccion de SQL y otros); y si la desactivas para arreglar la otra aplicacion, la primera deja de funcionar. Compatibilidad o no, es una caracteristica arquitectonicamente insegura. El solo hecho de tenerla estropea el lenguaje. Y no es la unica -- tu mismo has comentado ya de require/include. Y el problema de que "open" sea capaz de abrir una URL. Me imagino que hay otros, porque los brillantes cerebros que estan detras de todas esas ciertamente pueden mucho mas. Todo eso se puede "desactivar", pero todas ellas se pueden activar, y el hecho de existir hacen al lenguaje inseguro. -- Alvaro Herrera http://www.amazon.com/gp/registry/DXLWNGRJD34J "All rings of power are equal, But some rings of power are more equal than others." (George Orwell's The Lord of the Rings) From [EMAIL PROTECTED] Thu Dec 21 23:36:45 2006 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Thu Dec 21 23:29:33 2006 Subject: Ayuda en bajada de phishing (sertotal.cl) In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> 2006/12/21, Alvaro Herrera <[EMAIL PROTECTED]>: > Cristian Rodriguez escribió: > > > Te invioto cordialmente a que me ilumines (por favor) que agujero de > > seguridad tiene PHP en si mismo, > > magic_quotes > (copy/paste desde un changelog) - removed "magic_quotes_gpc", "magic_quotes_runtime" and "magic_quotes_sybase" ini options. (Pierre) magic_quotes oficilamente ya no existe. ademas , donde existe esta desactivado por defecto, todos los que SI saben usar el lenguaje, no lo usan, otra vez, un porblema de los programadores, que una una prestacion extemporanea del lenguaje, que ya nisiquera existe.
