Nota: este artículo te podría interesar si deseas saber cómo solucionar problemas de seguridad de manera "profesional".

De pequeño siempre quise ser Ingeniero de Sistemas... ahora, con 19 años ya llevo 6 semestres (de 10 aquí en Colombia), aún cuando no he estudiado por 2 años falta de dinero, ya no se que quiero hacer.

Con algo que llevo de experiencia mezclándome con "ingenieros" me da algo de tristeza ver cómo de cada 20 hay 1 que vale la pena. Los demás son personas que no tienen puta idea de lo que hacen, estudiaron esto no por vocación sino porque piensan que se van a forrar en dinero, y además se creen Dioses que todo lo saben (aún cuando dedican la mayor parte de su tiempo laboral chateando con el MSN, volviéndose maestros en el uso del Facebook, o perdiendo el tiempo de cualquier otra manera).

La verdad es que hace tiempo quería escribir algo sobre esto, pero no lo hacía simplemente porque muy seguramente los lectores asiduos de este humilde blog no tienen nada de mediocres, y los ingenieros (a quienes iría dirigida la entrada) ni siquiera saben lo que es un puto lector de feeds, o me leerían usando IE 6.0 (no saben que existen "otros") que a veces no carga bien esta página.

La historia... (aprende a solucionar problemas de seguridad)

Hace una semana entré a la página web del sistema de transportes colombiano Transmilenio, y descubrí que el sistema de búsquedas era vulnerable a ataques XSS y al famoso SQL Injection, por lo cual procedí (después de jugar un par de horas y descubrir ciertos datos interesantes) a avisar del fallo.

La cosa iba así para un XSS:

hola%' or title like '%hola> <script>alert(/POWNED/)</script><a

Y así para un SQL Injection:

hola%' UNION select * from NOMBRE_TABLA where 1=1 or 1 like '%1

Lo cierto es que esto es algo que se puede solucionar fácilmente, haciendo una limpieza a las variables antes de realizar una búsqueda en la base de datos, pero nuestros super ingenieros (que ni siquiera dieron las gracias) encontraron una mejor solución (la más óptima): deshabilitar las búsquedas.

Y aquí es donde no sé si reir o llorar. Poca vergüenza tiene esta gente, y lo peor es que los hay por montones. Muy triste...

También te podría interesar este artículo: Devolver el orgullo al nombre de "programador" para solucionar el déficit de programadores publicado en Punto de partida

Bonus...

• Protegiéndose frente a la inyección SQL
• Protegerse de un ataque SQL Injection
• Detén los ataques de Inyección SQL antes de que ellos te detengan a ti

P.d. esta es una entrada programada escrita el Viernes 1 de Agosto de 2008. Solo para dejar terminar la semana y ver si lo solucionan.

Algunos enlaces interesantes que me deje en el tintero gracias a mi anterior proveedor de hosting:

• Ahorrar tiempo y tráfico actualizando con apt-proxy: Si tienes varios equipos que utilicen apt como gestor de paquetes (Debian, Ubuntu, Knoppix, etc.), puedes utilizar apt-proxy; ésta herramienta crea un caché compartido de los paquetes DEB, con lo cual las máquinas que necesiten instalar software no tienen que descargarlo de internet, sino que lo hacen directamente de la LAN (inglés).
• Tips para hacer FireFox 3 más rápido: sencillos pasos de configuración de nuestro firefox para hacer que carguen más rápido las páginas.
• How-To: Instalar VMWare server sobre Ubuntu 8.04: en este artículo encontrarás paso a paso cómo realizar esto, lo que te permitirá instalar virtalmente sistemas operativos sobre tu Ubuntu (inglés).
• mp3blaster reproduce tu música, desde la consola: mp3blaster es un reproductor de audio (mp3,wav, ogg) que cambia la habitual interface por otra un poco más "rudimentaria" como es la consola, con lo que eso conlleva. Creado para sistemas UNIX (ej. Linux, Free/Net/OpenBSD, etc), con mp3blaster podrás escuchar MP3 sin preocuparte por entorno gráfico que usas.
• LinuX-Gamers: Se trata de una distro basada en Arch Linux, que sólo puede descargarse vía Torrent en forma de un Live DVD que incluye todo lo necesario para jugar, entre ello estos 15 juegos y los drivers para ATI y Nvidia. En lo que lo he probado está bien, sobre todo por lo de incluir a World of Padman... aunque unos juegos son bastante malos (hay que decirlo).
• Listado de decompiladores Java: se trata de este listado bastante completo de decompiladores y ofuscadores para Java.
• Guardar logs de Apach2 en MySQL: se trata de un how-to (en inglés), en donde se explica cómo instalar y configurar el módulo mod_log_sql, lo que servirá para guardar los logs que genere el servidor Web Apache2 en MySQL.
• [Wordpress] Banear comentarios por IP usando .htaccess: Nuestro querido amigo KnxDT nos explica como podemos banear comentarios por IP usando el .htaccess.
• OpenSolaris: pkg-get y blastwave: un artículo de JainuX en donde explica el funcionamiento del principal gestor de paquetes en OpenSolaris.
• Ghost for Linux, alternativa libre a Norton Ghost: Ghost for Linux es un proyecto libre cuya funcionalidad es igual al Norton Ghost de Symantec, nos permite crear imágenes de discos o particiones y luego recuperarlas fácilmente.
• [Libro] Implementacion de Servidores con GNU/Linux: Interesante documento escrito por Joel Barrios que cubre gran cantidad de temas relacionados con la administracion de GNU/Linux, el autor del libro emplea CentOS (una distribucion gratuita basada en las fuentes de Red Hat) pero no por ello no es aplicable su contenido al resto de distribuciones.
• La Cuarta Dimensión Con Vídeos: una colección de videos en donde podremos encontrar información acerca de la magnífica cuarta dimensión. Recomendado.
• ext3undel, si te equivocas con el rm: rm, como muchos saben, es el comando que ejecutamos para eliminar archivos y directorios en Linux. Pero, ¿qué pasa cuando nos equivocamos y borramos algo accidentalmente? Para momentos como esos, ext3undel puede ser de gran utilidad, puesto que recupera datos accidentalmente dañados en sistemas de archivos ext3.
• Follar, quía para adolescentes: un excelente artículo/reflexión del sexo de (nosotros) los adolescentes. De verdad que no sabemos tirar...
• Mapa de Springfield [Los Simpsons] para Quake 3: este mapa lo he probado sobre Linux, y es bastante bueno, muy divertido y detallado. Sin lugar a dudas recomendado.
• 10 sorprendentes camisetas Linux
• Escritorio remoto en Linux: una manera nativa (sin necesidad de instalar absolutamente nada) de conectarnos por escritorio remoto a una máquina con Linux.
• Matando procesos con Expresiones Regulares.

Lo primero que necesitaremos son los drivers JDBC en formato jar, incluir este archivo jar en el CLASSPATH de nuestro proyecto y cargarlos en memoria:

Oracle: JDBC Download page Oracle

Class.forName("oracle.jdbc.driver.OracleDriver").newInstance();

MySql: MySQL Connector J

Class.forName("com.mysql.jdbc.Driver").newInstance();

Para crear la conexión, necesitamos una url JDBC, la cual contiene toda la información necesaria para conectarse:

Oracle: necesitaremos saber el host (el nombre de la máquina o su IP), el puerto de escucha del listener de Oracle (1521 por ejemplo), el servicio o sid, el usuario y la clave. Diferentes formatos de la url JDBC pueden ser:

jdbc:oracle:thin:@host:puerto:sid
jdbc:oracle:thin:usuario/clave@host:puerto:sid
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=host)(PORT=puerto)))(CONNECT_DATA=(SERVICE_NAME=servicio)(SERVER=SHARED)))
jdbc:oracle:thin:usuario/clave@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=host)(PORT=puerto)))(CONNECT_DATA=(SERVICE_NAME=servicio)(SERVER=SHARED)))

Más información en FAQ JDBC Oracle: Connections

MySql: host (nombre de la máquina o su IP), puerto de escucha (3306 por defecto), nombre de la base de datos, usuario y clave. El formato de la url es:

jdbc:mysql://host:puerto/database
jdbc:mysql://host:puerto/database?user=usuario&password=clave

(Más información en MySql JDBC Reference)

Una vez tengamos la url JDBC, podemos crear la conexión contra la base de datos:

Connection connection = DriverManager.getConnection(ulr, usuario, clave);

Si la URL ya contiene el usuario y la clave (hay formatos que ya la llevan):

Connection connection = DriverManager.getConnection(ulr);

Con el objeto connection ya podemos trabajar, sin olvidarnos de que una vez hemos acabado, hay que cerrar la conexión. Esto es muy importante hacerlo, ya que si se queda abierta, estamos desaprovechando recursos, creando lo que se llama connection leaks (conexiones perdidas) con la base de datos. La mejor forma de hacerlo es englobar todo el código en una estructura try/catch/finally y efectuando el cierre de la conexión en el finally. De esta manera nos aseguramos de que falle o no falle el código, se cerrará la conexión.

Connection connection;
try {
    // ...
    connection = DriverManager.getConnection(ulr);
    // ...
} finally {
    if (connection != null) {
        try {
            connection.close();
        } catch (SQLException e) {
			      e.printStackTrace();
        }
    }
}

Veamos ahora un par de ejemplos completo. Para Oracle definimos una url que incluye el usuario y la clave, por lo que no necesitaremos pasarle esta información en el método getConnection():

import java.sql.*;

public class OracleConnection {
    public static void main(String args[]) {

        String usuario = "vil";
        String password = "secreta";

        String host = "localhost"; // tambien puede ser una ip como "192.168.1.14"
        String puerto = "1521";
        String sid = "prueba";

        String driver = "oracle.jdbc.driver.OracleDriver";

        String ulrjdbc = "jdbc:oracle:thin:" + usuario + "/" + password + "@" + host + ":" + puerto + ":" + sid;

        Connection connection = null;
        try {
            Class.forName(driver).newInstance();
            connection = DriverManager.getConnection(ulrjdbc);

            // Ya tenemos el objeto connection creado

            ResultSet result = connection.createStatement().executeQuery("SELECT 'hola mundo' FROM DUAL");
            result.next();
            System.out.println(result.getString(1));

        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                }
            }
        }
    }
}

Y para MySQL (usaremos una url sin usuario y clave, por lo que pasaremos esta información al método getConnection):

import java.sql.*;

public class MySQLConnection {
    public static void main(String args[]) {

        String usuario = "vil";
        String password = "secreta";

        String host = "localhost"; // tambien puede ser una ip como "192.168.1.14"
        String puerto = "3306";
        String database = "prueba";

        String driver = "com.mysql.jdbc.Driver";

        String ulrjdbc = "jdbc:mysql://" + host + ":" + puerto + "/" + database;

        Connection connection = null;
        try {
            Class.forName(driver).newInstance();
            connection = DriverManager.getConnection(ulrjdbc, usuario, password);

            // Ya tenemos el objeto connection creado

        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                }
            }
        }
    }
}

Resumen para crear una conexión con cualquier base de datos:

• Insertar en el CLASSPATH el jar con los drivers de nuestra base de datos (drivers Oracle, drivers MySQL o buscar en Google “drivers jdbc basededatos”)
• Cargar los drivers con Class.forName(sdriver).newInstance();, siendo sdriver un String con la clase del driver.
• Crear la conexión con DriverManager.getConnection(ulrjdbc, usuario, password);, siend urljdbc una url con el formato que define la propia base de datos (Oracle: jdbc:oracle:thin:@host:puerto:sid, MySQL: jdbc:mysql://host:puerto/database o buscar en Google “jdbc url basededatos”)
• Cerrar siempre la conexión dentro del finally

Tomado de Yo, Programador, un blog de programación y tecnología escrito por Alberto Vilches.

Este artículo está licenciado con:

La comunidad DragonJar a liberado el número 2 de su e-zine, que en esta ocación toca temas bastante interesantes como Blind SQL Injection, un tutorial de cómo crear un compilador para Java, administración de Wordpress, entre otras.

Los dejo con el enlace del anuncio oficial, donde se encuetra el link de descarga

La idea de este artículo es mostrar un sencillo ejemplo de cómo hacer que los links de nuestras aplicaciones web sean "bonitos", algo así como los que podemos utilizar con Wordpress. De tal manera no tendríamos links como estos:

http://www.sitio.com/index.php?accion=consultar&objetivo=personas

Sino algo estéticamente más agradable como:

http://www.sitio.com/personas/

¿Qué necesito?

Es necesario tener en cuenta los prerrequisitos para poder hacer esto. Para este ejemplo voy a suponer que la aplicación la estás haciendo sobre el servidor Apache, y que estás programando en PHP+MySQL. Necesitas:

• Manejar la mayor parte del trabajo con el archivo index.php. Esto más que un requisito es un consejo. Cuando estés desarrollando aplicaciones en PHP es recomendable que la mayor parte del sistema tenga que ser procesado inicialmente por este archivo, el cual se encargará de manejar todas las peticiones y utilizar los módulos que se necesiten. Esto, por supuesto, NO quiere decir que TODO el código vaya dentro del archivo index.php; una buena práctica es separar el código en módulos y llamarlos con funciones como include o require.
• Es necesario tener instalado el mod_rewrite, el cual se utilizará desde un archivo .htaccess. El ModRewrite es un módulo para Apache que por lo general se configura (definir reglas) en el archivo httpd.conf, pero es posible poner una configuración ModRewrite en cualquier directorio de nuestro servidor web dentro del archivo .htaccess.
• Puesto que de acuerdo al string que pasemos en la URL se debe determinar qué hacer, es necesario hacer algo de esto:
  • Hacer que dentro de la base de datos la llave primaria de la tabla a consultar sea una cadena de texto, ó
  • Hacer otro campo en la tabla de MySQL aparte de la llave primaria

Ejemplo

Para nuestro ejemplo necesitamos un servidor Apache con ModRewrite, PHP y MySQL. Lo primero es crear la base de datos, así:

create database ejemplo;
create table contenidos(
id int(5) primary key auto_increment,
titulo varchar(50),
contenido varchar(1000),
slug varchar(50));

Luego creamos una carpeta dentro del htdocs de apache, en donde pondremos los archivos de nuestro ejempo (mkdir /opt/lampp/htdocs/ejemplo). Hecho esto, lo siguiente es crear el archivo .htaccess, en el cual indicaremos las reglas del ModRewrite. En nuestro ejemplo tenemos algo como esto:

# Esto es un comentario
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /ejemplo/
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /ejemplo/index.php [L]
</IfModule>

Una explicación breve de este .htaccess:

• En los archivos .htaccess es posible hacer comentarios anteponiendo el simbolo numeral (almohadilla como dicen en España)
• <IfModule mod_rewrite.c>: Esta instrucción funciona como un if, que verifica si el ModRewrite está instalado.
• RewriteEngine On, activa el ModRewrite.
• RewriteBase /ejemplo/, asigna el directorio base donde trabajará el ModRewrite
• RewriteCond %{REQUEST_FILENAME} !-f y RewriteCond %{REQUEST_FILENAME} !-d, la instrucción RewriteCond funciona como una condición que en caso de ser verdadera hará que se ejecute una regla (RewriteRule) del ModRewrite. Funciona con expresiones regulares. En este caso lo que estamos verificando es si la petición se trata de un archivo (-f) o directorio (-d) que no (!) existe, en cuyo caso ejecuta la RewriteRule de abajo. Pero ¿para qué esto? Dado que las peticiones que hacemos usando URL bonitas no existen físicamente en el servidor, podemos aprovecharlas para indicar que dichas URL las manejará el archivo index.php, es decir, si por ejemplo hacemos una consulta como:
  http://www.sitio.com/link-agradable
  y en dicho servidor no existe ninguna carpeta o archivo que tenga el nombre link-agradable, el control de dicha petición se enviará al archivo index.php.
• RewriteRule . /ejemplo/index.php [L], ejecuta la regla que en este caso hace que el control de la aplicacion pase al archivo index.php, el cual se encargará de analizar la URL y realizar las operaciones adecuadas. La instrucción [L] hace que cualquier otra regla por debajo de esa linea no se cumpla.
• </IfModule>, cerramos nuestro if.

Vamos ahora con nuestro archivo index.php:

<?php
   //URL base de la aplicacion
   $base = "http://localhost/ejemplo/";
   //Crear la conexion a la base de datos
   $conexion = mysql_connect("localhost", "root", "");
   mysql_select_db("ejemplo", $conexion);
   //Si se requiere unicamente el index
   if(("http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']) == $base ||
      basename($_SERVER['REQUEST_URI']) == "index.php")
      $contenido = "Lo que vaya en el index por defecto";
   else {
      $id = $_GET["id"];
      //Si es una URL fea-asquerosa...
      if(!empty($id))
         $consulta = mysql_query("SELECT contenido FROM contenidos WHERE id = $id", $conexion);
      //Si es una URL bonita...
      else
      {
         //Obtener el nombre clave
         $slug = basename($_SERVER['REQUEST_URI']);
         $consulta = mysql_query("SELECT contenido FROM contenidos WHERE slug = '$slug'", $conexion);
      }
      //Si la consulta es correcta...
      if(mysql_num_rows($consulta) > 0)
         $contenido = mysql_result($consulta, 0, 0);
      //Informar del terrible error
      else
         $contenido = "Lo que est&aacute;s buscando no existe  ";
   }
?>
<html>
<head><title>Un ejemplo</title></head>
<body><?php echo $contenido ?></body>
</html>

• Línea 3: es recomendable para este tipo de aplicaciones (y para casi todas en general), que tengamos una URL fija definida para nuestra aplicación. En este caso almacenamos el string http://localhost/ejemplo/ en la variable $base.
• En las líneas 5 y 6 creamos la conexión a la base de datos.
• En el if de la línea 8 verificamos si la petición HTTP es para la raiz de nuestro proyecto (llamar simplement al index.php), de lo contrario...
• En las líneas 12 y 14 verificamos si se trata de una petición GET normal, en la que pasamos pares variable-valor dentro de la URL. En cuyo caso se realiza una consulta a la base de datos tomando en cuenta las variables GET (línea 15).
• Si la peticion está formada como una URL bonita, creamos una variable llamada $slug que contiene el nombre base de la URI (línea 20), es decir, si la peticion es http://www.sitio.com/link-agradable, el nombre base de la URI es link-agradable. Posteriormente, en la línea 21 hacemos una consulta en la base de datos buscando un registro que contenga dicho slug.
• En la línea 24 verificamos si la consulta ejecutada anteriormente contiene registros, en cuyo caso pone el contenido en la variable $contenido. Sino, se mete en esa variable un mensaje que dice que no se encontró el registro.

Hecho esto, nuestra aplicación tendrá el siguiente comportamiento:

La aplicación por defecto:

Una consulta a la antigua (URL fea):

Una consulta estéticamente más bonita:

Cuando no encuentra un registro:

Enlaces

• Descargar archivos del ejemplo click aquí
• Documentación ModRewrite