Comentarios en: Pregunta Contestada Nº1 http://www.trickyweb.cl/2009/08/11/pregunta-contestada-n%c2%ba1-2/ Informática & Tecnología Sat, 31 Jul 2010 23:41:48 -0400 http://wordpress.org/?v=2.8.5 hourly 1 Por: unlock codes http://www.trickyweb.cl/2009/08/11/pregunta-contestada-n%c2%ba1-2/comment-page-1/#comment-837 unlock codes Wed, 10 Mar 2010 17:00:26 +0000 http://trickyweb.wordpress.com/?p=3#comment-837 I came across your article, and i think you are very good writer, keep us posting I came across your article, and i think you are very good writer, keep us posting

]]> Por: download from redtube http://www.trickyweb.cl/2009/08/11/pregunta-contestada-n%c2%ba1-2/comment-page-1/#comment-719 download from redtube Thu, 25 Feb 2010 13:54:30 +0000 http://trickyweb.wordpress.com/?p=3#comment-719 You have a lot of interesting articles here, but you must improve your blog design You have a lot of interesting articles here, but you must improve your blog design

]]> Por: resveratrol http://www.trickyweb.cl/2009/08/11/pregunta-contestada-n%c2%ba1-2/comment-page-1/#comment-609 resveratrol Fri, 29 Jan 2010 22:41:52 +0000 http://trickyweb.wordpress.com/?p=3#comment-609 Good work, your articles are very interesting, i am glad that i googled your blog Good work, your articles are very interesting, i am glad that i googled your blog

]]> Por: teleskopy astronomiczne http://www.trickyweb.cl/2009/08/11/pregunta-contestada-n%c2%ba1-2/comment-page-1/#comment-431 teleskopy astronomiczne Tue, 29 Dec 2009 14:08:43 +0000 http://trickyweb.wordpress.com/?p=3#comment-431 Very nice blog, your article is interesting, i have bookmarked it for future referrence Very nice blog, your article is interesting, i have bookmarked it for future referrence

]]> Por: cizambra http://www.trickyweb.cl/2009/08/11/pregunta-contestada-n%c2%ba1-2/comment-page-1/#comment-3 cizambra Fri, 28 Aug 2009 22:58:00 +0000 http://trickyweb.wordpress.com/?p=3#comment-3 <blockquote>Siempre se debe validar que el contenido de las variables (tanto en $_GET como en $_POST), para solo utilizarlas cuando corresponda. Por ejemplo, no permitir caracteres “/”, “\” o “..”, a la vez de verificar si el archivo existe, o cosas así.</blockquote> En efecto, por eso puse como ejemplo, un switch que elija sólo números, ya que así, en cualquier caso aparte, simplemente no se hace nada. Los caracteres “/”, “\” o “..” generalmente afectan durante la inclusión de un $_GET como bien mencionaste antes. Gracias por el comentario!, nunca está de mas hacer esas acotaciones, se me pasó esta vez por tratar de acortar un poco el tutorial, trataré de solucionarlo para los siguientes tutoriales, saludos!

Siempre se debe validar que el contenido de las variables (tanto en $_GET como en $_POST), para solo utilizarlas cuando corresponda.
Por ejemplo, no permitir caracteres “/”, “\” o “..”, a la vez de verificar si el archivo existe, o cosas así.

En efecto, por eso puse como ejemplo, un switch que elija sólo números, ya que así, en cualquier caso aparte, simplemente no se hace nada. Los caracteres “/”, “\” o “..” generalmente afectan durante la inclusión de un $_GET como bien mencionaste antes.

Gracias por el comentario!, nunca está de mas hacer esas acotaciones, se me pasó esta vez por tratar de acortar un poco el tutorial, trataré de solucionarlo para los siguientes tutoriales, saludos!

]]> Por: RNT http://www.trickyweb.cl/2009/08/11/pregunta-contestada-n%c2%ba1-2/comment-page-1/#comment-2 RNT Fri, 28 Aug 2009 18:39:39 +0000 http://trickyweb.wordpress.com/?p=3#comment-2 Buena explicación, creo que siempre es bueno poner unas pocas ideas de seguridad cuando se programe. Hacer como: <code> include($_GET["pg"]); </code> Son una muy mala idea, ya que permitimos que se realicen inclusiones de archivos no deseados. <strong>Siempre</strong> se debe validar que el contenido de las variables (tanto en $_GET como en $_POST), para solo utilizarlas cuando corresponda. Por ejemplo, no permitir caracteres "/", "\" o "..", a la vez de verificar si el archivo existe, o cosas así. Evitemos "hackeos" por malos sistemas mal programados, y así nuestro prestigio nunca se verá afectado! Saludos! Buena explicación, creo que siempre es bueno poner unas pocas ideas de seguridad cuando se programe.

Hacer como:

include($_GET["pg"]);

Son una muy mala idea, ya que permitimos que se realicen inclusiones de archivos no deseados.

Siempre se debe validar que el contenido de las variables (tanto en $_GET como en $_POST), para solo utilizarlas cuando corresponda.
Por ejemplo, no permitir caracteres “/”, “\” o “..”, a la vez de verificar si el archivo existe, o cosas así.

Evitemos “hackeos” por malos sistemas mal programados, y así nuestro prestigio nunca se verá afectado!

Saludos!

]]>