Mensajes

muchas gracis!

Hola que tal, pues ultimamente eh estado programando varios sitios en php, y creo que es un lenguake que domino bastante bien, pero no hago cosas como blogs o cosas con un nivel tan avanzado, y la pregunta seria, Alguien sabe de un tutorial de php en el que se hable de las practicas de programacion, en todos los sentidos: organicacion de los archivos, manera de porgramar, manejo de carpetas, todo tipo de estandares(cuando poner en mayuscula una variable, cuando en minusculas, etc), etc, etc, ese tipo de cosas que aprenderias en un curso pero que al aprender solo con prueba y error nunca aprendes

SAludos

Hola alguien sabe de un buen tutorial para crear un captcha en php(para los que no saben que son, son las molestas letritas que aparecen en algunos formularios para evitar spam automatico o un exceso de mensajes), o mejor aun un codigo open soruce adapatable a cualquier formualrio que me evite la fatiga
SAludos!

No entiendo tu pregunta te refieres a uso de base de datos??

Saludos

justamenteme acabo de topar con ese problema en mi pagina y utilice esta funcion, por lo pronto me parece funcional y ademas solo evita el javascript y no el html como por ejmplo la funcion htmlentities, seria cosa de ver si alguien la rompe:

http://quickwired.com/smallprojects/php_xss_filter_function.php

Saludos

Hola que tal, estoy poniendo un mailer en mi pagina, pero como estoy usando por el momento un hosting gratuito no me deja enviar mails y lo que quiero hacer es enviar el mail desde un servidor externo pero que pareciera que se envia desde el sitio, se me ocurrio algo asi:
include("http://servidorexterno/mailer.php?mensaje=hola&tema=etc");
en mi pagina

La idea es ejecutar el script en el servidor externo pero que pereciese que se ejecuta en el mismo, me parecio haber visto esto alguna vez pero no logro acordarme como

Que se les ocurre, si no me di a entender avisenme
Saludos

Otra pregunta, siguiendo ejemplos del manual, quize hacer esto:

p';bulk insert foo from 'c:\inetpub\wwwroot\Default.aspx''--

para insertar en una tabla que ya cree(foo) dicho documento

y me devuelve este error:
Could not bulk insert because file 'c:\inetpub\wwwroot\Default.aspx' could not be opened. Operating system error code 3(The system cannot find the path specified.).
Que segun yo es por que no encontro el archivo.(la pagina de inicio es la de defaul.aspx)

La pregunta, es un IIS 6.0, cual es la carpeta "root" por defecto, ¿si es c:\inetpub\wwwroot\?
saludos

Hola!, de nuevo aqui preguntando sobre sql injection, y es que resulta que en cierta pagina, he encontrado varias vulnerabilidades, la que estoy usando esta en un catalogo, el chiste es que hay puedo hacer de todo, ya probe desde un simple union select, hasta un update, delete, etc, saque todas las columnas, tablas, etc,etc. y parece ser que se peuden ejecutar comandos de mssql como ;exec ..master ....... (incluso me agregue un usuario a su sistema )
Es la primera página con ese grado de importancia(es una institucion relativamente importante de mexico) con una vulnerabilidad de sql injection tan grave.
Bueno quiero aprovechar esta pagina para probar inyecciones mas avanzadas y practicar un poco este tema en cosas mas relevantes que agregar leer o borrar datos, tipo las que se muestran en el ya conocido texto http://www.ngssoftware.com/papers/advanced_sql_injection.pdf.

Ahora la pregunta:
1. Es posible ejecutar en el shell intrucciones como por ejemplo "dir"(exec master..xp_cmdshell 'dir') y que el resultado se muestre en alguna columna del catalogo con un UNION.
2. Me parece que el usuario que agregue al sistema (exec master..xp_cmdshell 'ne user /add ...etc),se agrego correctamente pero no me he podido conectar para probarlo, intente con el escritorio remoto que viene en el windows pero namas no, de que otra forma me podria conectar remotamente al servidor y utilizar mi usuario creado
3.¿ hay alguna intruccion para por ejemplo crear un archivo en el servidor??
¿que otra cosa creen que podria probar?

En lo que puedan ayudarme esta perfecto
nota: todas las intrucciones las agrego despues de un ; por ejemplo apra un update lo estoy ahciendo así:

q'; UPDATE SET columna='valor' WHERE condicion ---

Saludos!

..interesante

mm. ese error es nuevo para mi, siempre te regresa el error?, o en que casos, otra pregunta, el tipo de valor que toma "oper" por defecto cual es? una cadena o un entero