Ver Mensaje Individual
  #31 (permalink)  
Antiguo 18/12/2011, 21:03
Avatar de jorgelpadronb
jorgelpadronb
 
Fecha de Ingreso: agosto-2011
Ubicación: Cuba
Mensajes: 281
Antigüedad: 13 años, 4 meses
Puntos: 37
Respuesta: Ataques LFI con imágenes

Cita:
Iniciado por Triby Ver Mensaje
Precisamente, la culpa no es de PHP, sino de quien lo usa sin poner atención en esos pequeños detalles... por eso insisto: NO ES BUG DE PHP!!!

Esto me recuerda aquellos viejos tiempos (cuando yo sólo hacía webs en HTML), que todo mundo condenaba a PHP por la inseguridad que se generaba al activar register_globals y validaciones precarias; por supuesto, la culpa fue de los programadores que preferían "evitarse la molestia" de inicializar y verificar cada variable.

No podemos culpar a PHP por las inyecciones SQL cuando nos olvidamos de usar consultas preparadas o escapar los datos correctamente.

Y, bueno, ya casi me canso de repetirlo:
- Antes de usarlas, inicializar todas las variables con el contenido que realmente les corresponda $_GET, $_POST, $_COOKIE, $_SESSION o con un valor por defecto, ya sea cadena vacía, NULL, falso, etc.
- No confiar en los datos ingresados por el usuario
- No incluir scripts (php o la extensión que sea, internos o externos) si no pertenecen a la estructura de tu sitio.
Ok Triby, ahora entiendo. El error es mío por no expresarme claramente.

Mis disculpas por la confusión que he formado. Iovan también me lo digo más arriba. Sin embargo yo no estaba equivocado en el concepto, sino en las palabras que uso para definirlo.

No debería decir bug de PHP, pues la deficiencia no es de PHP. Lo que realmente yo quería deceir era un bug en el código PHP de la aplicación. Cierto?

Gracias Triby y Iovan por la aclaración.

Saludos.
__________________
Los hombres pequeños, nunca se sienten pequeños; los hombres grandes, nunca se sienten grandes.

No sé quien fué el que dijo eso, pero está bueno.