Mensajes

[encoding]

http://nedbatchelder.com/blog/200704/xss_with_utf7.html

htmlentities()

encoding

    Al igual que htmlspecialchars(), htmlentities() toma un tercer argumento opcional encoding el cual define la codificación usada en la conversión. Si se omite, el valor por defecto para este argumento es ISO-8859-1 en versiones de PHP anteriores a 5.4.0, y es UTF-8 desde PHP 5.4.0 en adelante. Aunque este argumento es técnicamente opcional, es altamente recomendable especificar el valor correcto para el código.

Salu2!

[validar]

Primero que nada actualiza la versión del PHP a la actual, igual el MySQL (si es que lo utilizas).

Hablando de funciones "mágicas" del PHP para la seguridad, cabe aclarar la diferencia de validar y sanitizar.

Para validar recomiendo filter_var() (tanto para SQLi como XSS, o cualquier entrada del usuario)

Y para sanitizar puedes usar htmlentities($str,ENT_QUOTES) (no es necesario declarar el charset del UTF-8).

busca también sobre strip_tags() [yo la uso para "limpiar" la entrada del usuario cuando vaya a ingresarlo a una bd], htmlspecialchars() [Es casi lo mismo que la htmlentities()].

Nunca uses expresiones regulares en javascript, si lo vas a hacer que sea en PHP, su efectividad depende de tus conocimientos sobre ataques, sólo tú puedes saber si es segura o no

PD: En las SQLi usa PDO 

Salu2!

Justo hay un curso que así se llama "codigofacilito" (buscalo )

Por otro lado, no has dado NADA de info, qué te gustaría hacer con la programación, qué conocimientos previos tienes, cual lenguaje te interesa.

Antes de contra-preguntarme "¿Qué se puede hacer con la programación" o "¿Cuál lenguaje es mejor?" ponte a buscar un poco 

Salu2!

lo raro es que hay miles de TRJ. osea troyanos que detecta el antivirus y solo uno conoce unos pocos como el poison el brifrost entre otros, por eso era la pregunta como que hay mas 1000000 TRJ ? para mi son adware u otro tipo de malware y el antivirus lo clasifica como troyano.....

El asunto es que no son "tipos de troyanos" los que te detecta el antivirus, sino el nombre de la firma que lo reconoce como malware, busca un poco sobre firmas y heurísticas de los AV's.

Salu2!

Me atrevo a decir que el 80% de los que publican (hoy en dia) dudas en esta zona, ni se molestan en leer las reglas.

Supuestamente:

Hacking Avanzado (Moderadores: ANELKAOS, TRICKY)

ANELKAOS lleva poco más de 4 meses inactivo
TRICKY lleva poco más de 1 mes.

El asunto es que no creo que haya ningun problema en que se posteen dudas, creo que si no se dejara publicar dudas y fuera solo de manuales estaría muy mal.
No esperes que el/los moderadores estén las 24/7 pegados en el foro para "limpiar" la zona, sin embargo hay muchos moderadores que limpian el foro dia a dia, y creo que eso se debe reconocercelos en vez de poner puros post de críticas...

Salu2!

Como bien te dicen, que no se vea que te estén controlando el PC, no significa que no lo estén haciendo, si has usado el poison ivy como dices, deberías saberlo...

entonces porque se llaman troyanos?

Hacen alusión a la batalla de troya, el famoso "caballo de troya" que pasó al campo del enemigo sin que se dieran cuenta, y desde adentro atacar.

Salu2!

Lo vas a implementar a nivel local o lo tendrás en un hosting?

De ser lo segundo déjame decirte que subir archivos a veces resulta algo tedioso.

En algunos casos tienes que dejar definido los permisos de lectura/escritura y en algunos otros otorgar permisos desde código.
Aunque opino que es "más seguro" la segunda opción.

Saludos.

Por el momento de forma local (en forma de practica) para despues cuando se necesite montarlo en un hosting...

Por el tema de los permisos no hay problema, sé cómo hacerlo 

¿Alguien sabe si es vulnerable?

Salu2!

[creo]

He estado leyendo algunos tutoriales y demás sobre la seguridad en los sistemas de upload (con PHP) desde hace tiempo, y creo que tengo un uploader seguro, me gustaría saber si encuentran alguna vulnerabilidad.

Código (HTML) [Seleccionar] Expandir


<!DOCTYPE html>
<html>
<head>
<style>
body,html{
background-color:black;
color:white;
text-align:center;
}

table{
background-color:green;
margin-left:auto;
margin-right:auto;
border:1px solid white;
padding:5px;
}
</style>
<title> UPLOADER v1.2</title>
</head>
<body>
<h2>UPLOADER v1.2</h2>
<table>
<form action="uploader1.php" method="post" enctype='multipart/form-data'>
<tr>
Seleccionar archivo: <br>
<td>
<input type="file" name="file"/>
</td>
<td>
<input type="submit" name="upload" value="Subir!" />
</td>
</form>
</table>
</body>
</html>


Código (PHP) [Seleccionar] Expandir


<html>
<head>
<meta charset="utf-8">
<title> UPLOADER v1.1</title>
<style>
body,html{
background-color:black;
color:white;
text-align:center;

}
#show{
background-color:green;
border:1px solid white;
padding:5px;
}
</style>
</head>
<body>
<h2>UPLOADER v1.2</h2>

<h3> Información del archivo: </h3><br>

<span id="show">

<?php

if(!isset($_FILES['file'])){
header("Location: uploader1.html");
}


$dir = 'uploader/'; // Ruta
$tmp = $_FILES['file']['tmp_name'];
$name = $_FILES['file']['name'];
$permitidas = array('txt','rar','zip'); // Extensiones permitidas
$ext = pathinfo($name, PATHINFO_EXTENSION); // Sacamos la extension
$subido = htmlspecialchars($dir.$name,ENT_QUOTES); 

function validar($ext,$permitidas){
$v = in_array($ext,$permitidas) ? TRUE : FALSE ;
return $v;
}

if(validar($ext,$permitidas)){
echo move_uploaded_file($tmp, $dir.$name) ? "Archivo subido correctamente <a href='$subido'>Aqui</a>" : 'No se ha podido subir el archivo';
}else{
echo 'Archivos con la extension '.htmlspecialchars($ext,ENT_QUOTES).' no son permitidas';

}

?>
</span>

</body>
</html>


PD: No soy buen diseñador (como lo habrán notado xD) me gustaría ver consejos también del css.

Salu2!

La causa principal suele ser (como bien te han dicho ya) que son preguntas "estúpidas" (estilo hackear facebook, hotmail, etc...), o simplemente porque son preguntas donde ni siquiera se han dado el interés de buscar por ellos mismos.

Otra razón suele ser la ortografía, d3 lo0x que excriv3n asYyy (de los que escriben así) 

Preguntas mil veces respondidas, etc, etc...

Con el tiempo te acostumbras como usuario (forero) de ver ese tipo de respuestas a usuarios que solo buscan "ayuda".


Salu2!

No publico mucho pero siempre paso bastante tiempo leyendo por aquí

Estoy haciendo un dump a una tabla que en realidad es bastante grande (nada mas que 77820 entradas)
Mi duda es la siguiente: Puedo apagar el sistema y cuando vuelva a iniciarlo volver a ejecutar el "--dump" y seguirá desde donde estaba o va a iniciar de nuevo? 

Gracias. 

Pues man, porqué no lo pruebas y nos dices  debería empezar de nuevo a menos que tenga un estilo de caché...

Salu2