Ver Mensaje Individual
  #30 (permalink)  
Antiguo 18/12/2011, 20:33
Avatar de Triby
Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: Ataques LFI con imágenes

Cita:
Iniciado por jorgelpadronb Ver Mensaje
Hola Triby. Tal vez me han informado mal. Pues, según me respondieron en este mismo foro, en un tema afín que puse hace ya algún tiempo, un bug de seguridad es precisamente eso, una debilidad de la aplicación por mala validación de los datos que entran desde el exterior, por la vía que sea (todas las que tu enumeras).
Precisamente, la culpa no es de PHP, sino de quien lo usa sin poner atención en esos pequeños detalles... por eso insisto: NO ES BUG DE PHP!!!

Esto me recuerda aquellos viejos tiempos (cuando yo sólo hacía webs en HTML), que todo mundo condenaba a PHP por la inseguridad que se generaba al activar register_globals y validaciones precarias; por supuesto, la culpa fue de los programadores que preferían "evitarse la molestia" de inicializar y verificar cada variable.

No podemos culpar a PHP por las inyecciones SQL cuando nos olvidamos de usar consultas preparadas o escapar los datos correctamente.

Y, bueno, ya casi me canso de repetirlo:
- Antes de usarlas, inicializar todas las variables con el contenido que realmente les corresponda $_GET, $_POST, $_COOKIE, $_SESSION o con un valor por defecto, ya sea cadena vacía, NULL, falso, etc.
- No confiar en los datos ingresados por el usuario
- No incluir scripts (php o la extensión que sea, internos o externos) si no pertenecen a la estructura de tu sitio.
__________________
- León, Guanajuato
- GV-Foto