Mensajes

Está super bién explicado. Hace un par de ños atrás estubo de moda que algunos intentaban robar contraseñas de este modo poniendo autentificación en sus avatares o firmas, pero los fuimos baneando y asunto solucionado.

El bug es viejisimo, de hecho por este mismo motivo vbulletin, facebook, etc prefieren crear una precarga del enlace y verificar este tipo de cosas antes de aceptar el enlace como válido o no.

De todas formas habría que ser muy ingenuo para caer en algo así porque hay que recordar que en la ventana de autentificación aparece que sitio web requere las credenciales, asi que si entro a elhacker.net y yo.com me solicita mi clave está mas que claro que no se lo debo dar.

Deberian ser gratis los certificados ssl si quieren que todos los usemos.

Aprende Java o PHP para que te acostumbres a programar basado eon objetos, después puedes saltar a otros lenguajes similares como c++

Todo depende a que te quieras dedicar, el area de la informática es muy grande.

O sea que si pones el portatil en tus piernas sobre la cama estas jodidamente jodido :-/ con razón la mayoría de los hp se queman tan rápido. Yo tengo mi easynote desde hace hartos años y cuando me acuesto le pongo la frazada encima y nunca se me ha recalentado y eso que lo mantengo abierto a veces con sistemas virtuales, editores, photoshop, etc.

Hace muchos años que algunas iglesias evangelicas utilizan dispositivos moviles y notebooks para llevar la ifnromación de predicas y esas cosas porque te evitas tener que llevar como 500 libros y tienes todo mucho mas a mano y mas cómodo, el unico problema es que se está metodizando mucho las predicaciones ya que deberían ser fluidas según lo que dicte el Espíritu de Dios, no el notebook, pero en fin, hay formas y formas, algunos metodistas pentecostales prefieren preparar las predicas antes de darlas, otros pentecostales prefieren ir predicando segun lo que se vaya dando en el momento, ambas son buenas pero siento que una tiene mas libertad que la otra.

no no no, stripslashses los quita antes de parsear mysql real escape string, el strip slash se lo ponen generalmente para evitar los magic quotes del apache, por ejemplo si ingresas un texto con comillas le agrega solito el servicod unos slashses, con esa función se quita, el problema es que si el servidor no tiene habilitado magic quotes entonces le vas a comer los slashes reales que ha ingresado el usuario, por eso se debe detectar primero si está habilitado magic quotes y después procesar con stripslashses.

Después que está limpio lo procesa mysql real escape string, pero ojo, el motor mysql te va a dar error si tratas de hacer eso en un campo con valor int, para eso se utiliza (int)$valor dependiendo del tipo de campo y en ese caso no se le ponen comillas. Lo he explicado como 500 veces:
http://foro.elhacker.net/nivel_web/como_evitar_la_inyeccion_sql-t252384.0.html

[\x00, \n, \r, \, ', " y \x1a.]

en el caso de que $texto valga:
' union select database(),2,3,4,5,6 -- -
con mysql_real_escape_string te evita la inyección, sin el mysql real escape string te retorna una inyección sql con el nombre de la base de datos, si agregas un from tabla te debuelve los campos de la tabla, por ejemplo el password del usuario admin con un where id = x.


Lee un poco los tutoriales sobre inyección sql que andan por el foro.
Dale un vistazo a estos enlaces:

http://cl.php.net/manual/es/security.database.sql-injection.php (importante!)

Encierre entre comillas cada valor no-numérico provisto por el usuario que sea pasado a la base de datos filtrado con la función de cadena específica de la base de datos (Ej. mysql_real_escape_string(), sqlite_escape_string(), etc.). Si una función de escape (o de filtrado) de cadena específica de la base de datos, o un mecanismo similar no está disponible, las funciones addslashes() y str_replace() podrían ser útiles (dependiendo del tipo de la base de datos). Vea el primer ejemplo. Como lo muestra el ejemplo, agregar comillas a la parte estática de la consulta no es suficiente, lo que hace que esta consulta sea facilmente vulnerada.
No muestre ninguna información específica de la base de datos, especialmente sobre el esquema, por su correcto significado es como jugar sucio contra usted mismo. Vea también Reporte de errores y Manejo de errores y funciones de registro.
Podría utilizar procedimientos almacenados y previamente cursores definidos, para abstraer el acceso a datos para que los usuarios no tengan acceso directo a las tablas o vistas, para que esta solución tenga otros impactos.

http://foro.elhacker.net/nivel_web/gran_tutorial_sobre_inyecciones_sql_en_mysql-t247535.15.html

http://cl.php.net/mysql%20real%20escape%20string

Escapa caracteres especiales en la cadena no escapada, teniendo en cuenta el conjunto de caracteres actual de la conexión para que sea seguro usarla en mysql_query(). Si se van a insertar datos binarios, esta función debe ser usada.

mysql_real_escape_string() llama la función de la libreria de MySQL mysql_real_escape_string, la cual antepone backslashes a los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a.

Esta función siempre debe (con pocas excepciones) ser usada para hacer los datos seguros, antes de enviar una consulta a MySQL.

Lo que te falta son los archivos ttf para crear los textos, puedes agregarle cualquier fuente de texto, solo debe tener el nombre  captcha_fuente(*).ttf

Mas tarde subo las fuentes.
De todas formas esa captcha es parte de mi framework, si quieres te puedo dar el framework completo para que le des un vistazo y te doy unos ejemplos de como usar la captcha. Solo debes solicitarlo acá:
http://whk.drawcoders.com/foro/index.php/board,50.0.html

Y me posteas lo que necesitas hacer y te escribo un par de ejemplos ahi mismo.

Código [Seleccionar] Expandir

<p></p>

Código [Seleccionar] Expandir

<div style="clear:both;"></div>
<br />

A veces cuando usamos margin con valores negativos y después queremos hacer un padding tenemos conflictos de estilo y no nos deja hasta contrarrestar el margin negativo, otras veces te invalidan algunos saltos de linea en casos muy especiales (me ha pasado).

Para esto debes crear una división para limpiar todo lo que has hecho para arriba y se hace con clear:both y luego de eso podrás hacer los saltos de linea.

Recuerda utilizar esto despues de que termines de esribir varios items con float: * ya que recuerda que una posición flotante es casi una posición absoluta debido a que tendrás problema con la división que la encierra, no te dará el alto o no te dejará escribir nada ni si quiera dar saltos de linea hasta que sobrepases el alto de la división flotante, para esto se corrige con clear:both.

Ejemplo:

Código [Seleccionar] Expandir

<div style="float: left; background-color: #666666; color: white; padding: 5px; border-radius: 4px 4px 4px 4px;">Hola</div>
<div style="float: left; background-color: #666666; color: white; padding: 5px; border-radius: 4px 4px 4px 4px;">Hola</div>
<div style="float: left; background-color: #666666; color: white; padding: 5px; border-radius: 4px 4px 4px 4px;">Hola</div>
<div style="clear:both;"></div>
Chado :)

Pruebalo y después prueba sacar el clear.

Si no e slo que necesitabas puedes usar style para crear un salto de linea ficticio, por ejemplo:

Código [Seleccionar] Expandir

Hola
<div style="position: relative; top: 5px; margin-bottom: 5px;">Hola2</div>
No puedes ponerle margin-top porque no te resultará en algunos casos por lo que veo, pero igual intentalo.

Saludos.

No sabemos que hace esa función y si php.net el creador de php te dice que uses mysql_real_escape_string creo que es por algo, si haces algo que no te dice php que hagas entonces puedes correr riesgos de inyección.

Dale un vistazo a este post:
http://foro.elhacker.net/nivel_web/como_evitar_la_inyeccion_sql-t252384.0.html