Ricardo Mun~oz A. escribió: > Aldrin Gonzalo Martoq Ahumada wrote: > > [...] > >> El problema con el código que miré de CakePHP es que "no es ni chicha' >> ni limona'. No es un ORM, no es una API a base de datos, no es una >> framework de templates... es una mezcla de todo eso y parece que mucho >> mas. >> > > [...] > >> Y bueno, ahí me dió lata seguir leyendo... > > en las paginas 32-35 de la presentacion en [1] esta mucho mejor > explicado como maneja Cake lo que es SQL injection, XSS, el manejo de > la salida HTML, etc. el link al sitio de IBM solo descibe una clase > opcional (Sanitize) que se puede usar en Cake. entonces, al parecer > quedo la impresion de que en Cake se deben hacer muchas cosas a mano, > pero no es asi. basicamente: > > - SQL injection -> pag. 32 (es automatico) > - limpieza de HTML -> pag. 33 (es automatico) > - XSS -> pag.35 (output de los datos de POST se limpian automaticamente) > > [1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf > Nunca podemos confiarnos tanto de software de terceros. Tu sitio tiene vulnerabilidad XSS. Te mande un mail.
Saludos. From [EMAIL PROTECTED] Tue Sep 25 18:53:40 2007 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Tue Sep 25 18:56:13 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Leonardo Soto M. escribió: > > Habrá algo similar para PHP? (Smarty quizás?) > decenas de librerias hacen lo que tu quieres, hasta el inteprete lo puede hacer si gustas. -- "You don't have to burn books to destroy a culture. Just get people to stop reading them." --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research & Development From [EMAIL PROTECTED] Tue Sep 25 19:02:04 2007 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Tue Sep 25 19:04:36 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]><[EMAIL PROTECTED] l.gmail.com> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Ricardo Mun~oz A. escribió: > shuata... entonces no tienes idea que CakePHP lo puedo ejecutar sin > problemas en PHP5? cual es la idea de de tanto FUD con respecto a Cake? No es FUD, si esta programado para una version del lenguaje obsoleta, llena de limitaciones y errores el resultado va a ser malo auqnue funcione el versiones posterioires. ç > ya que estas recomendando Symfony, le podrias indicar a Raul como > prevenir SQL injection usando ese framework? ejemplos sobran., hay un libro (tanto impreso como on-line) que trata el tema, lo puede ubicar facilmente por si mismo. -- "You don't have to burn books to destroy a culture. Just get people to stop reading them." --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research & Development From [EMAIL PROTECTED] Tue Sep 25 18:13:44 2007 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Tue Sep 25 19:58:15 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Fernando Fenando <[EMAIL PROTECTED]> wrote: [...] > Quiero exponer una idea... a ver si me ayudan a concretarla o desecharla :P > aqui va... > > proponer una arquitectura multiproposito (implementacion tb puede ser) > basada en agentes inteligentes para la organizacion en tiempo real de > activos moviles georeferenciados (aplicado empresas de logistica y > distribucion, servicios de emergencia, etc)... no se si me explico Demasiadas muchas cosas juntas... tu solo, en un tiempo /prudente/ no hace todo eso. Y respecto "proponer una arquitectura"... a cualquiera se le puede ocurrir una basada en que $COSA_TEORICAMENTE_IMPOSIBLE se hace sin problemas, asi que eso solo (sin implementar al menos un prototipo) /no/ te lo compran como tesis. Parte con ese grupo de ideas, bucea en tu biblioteca tecnica mas cercana (y si puedes, alguna(s) lejana(s)) en las revistas relevantes de los ultimos 2 an~os, cae encima de wikipedia y revisa a fondo las referencias que te de, encomiendate a San Google. Resume lo que halles, ve que problemas abiertos se repiten, ve que cosas claramente estan hechas en forma chapucera (y que tienen solucion viable a tu alcance!). Eso puede dar luces sobre un tema de tesis. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513 From [EMAIL PROTECTED] Tue Sep 25 23:28:16 2007 From: [EMAIL PROTECTED] (Leonardo Soto M.) Date: Tue Sep 25 23:30:41 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 9/25/07, Cristian Rodriguez <[EMAIL PROTECTED]> wrote: > Leonardo Soto M. escribió: > > > > > Habrá algo similar para PHP? (Smarty quizás?) > > > > decenas de librerias hacen lo que tu quieres, hasta el inteprete lo > puede hacer si gustas. Seguro?. Ojo, que la solución práctica no es tan simple como "escapemos todo el HTML que aparezca". También debe existir un mecanismo para que se pueda incluir HTML cuando el desarrollador lo necesite. Ah, y también es ideal que exista la flexibilidad para desactivar programáticamente el autoescapado, cuando se quieren usar las plantillas para generar otras cosas que no sean HTML. [No, no es que /yo/ esté buscando esto en PHP. Es simplemente lo que está disponible en otros lados, y conocer los equivalentes para PHP puede ayudar a quien inicio el thread] -- Leo Soto M.