SQL Injection en Menéame

PHP, Seguridad

Nota: Al momento de publicar este post, el bug ya ha sido corregido en la última versión de Menéame, pero probablemente sus clones todavía son vulnerables.

Existe un problema de validación de datos en el código fuente de Menéame, que dadas las condiciones necesarias, hace posible que alguien pueda apoderarse de la cuenta de un usuario, ingreso de datos inconsistentes y la creación nuevas cuentas con nivel "god" -esto último creo que no tiene mucha implicancia.

Continue reading

CSS Friendly ASP.NET 2.0 Control Adapters

ASP.NET

Como ya había comentando en un post anterior, hacer que el motor de ASP.NET 1.x genere código (X)HTML relativamente correcto para todos los navegadores, es una tarea bastante trabajosa, porque los controles estándar no generan código muy limpio que digamos, esto empeora si usas controles de terceros -sin código fuente- que sólo funcionan bien en Internet Explorer, si bien es cierto que estos problemas se mitigan con algúnas técnicas (configurando algunas cosas en el web.config, escribiendo tus propios controles e inclusive usando módulos http para corregir el HTML generado), es un poco frustrante, cuando existen casos en los que no puedes hacer nada!

Felizmente, muchos de estos problemas han sido solucionados en ASP.NET 2, aunque todavía hay varios controles estándar y de terceros que generan código semánticamente incorrecto (Ejm Menu, FormView, DetailsView, etc), ahora existe la posibilidad de modificar la salida de estos controles sin necesidad de tener el código fuente.

El título del post hace referencia a un proyecto que muestra la forma de implementar los denominados Control Adapters, característica que comenté en el párrafo anterior. La beta 1 de este proyecto fue publicada en Abril de 2006, este mes se ha publicado la Beta 2 con bastantes mejoras y correcciones de fallas, además de traer ejemplos nuevos ejemplos para controles como GridView, Login, CreateUserWizard, etc.

Sin duda, ahora los desarrolladores que trabajen con asp.net, tienen más facilidad para producir páginas con XHTML correcto y válido... aunque también hay que reconocer, que a muchos no les importan este tipo de cosas!

AtackAPI – Ataques desde Javascript

JavaScript, Seguridad

Hace poco tiempo se comentaba sobre un detector de puertos escrito en javascript, esta vez, han publicado AtackAPI, que permite hacer ataques de una manera simple usando javascript.

AttackAPI provides simple and intuitive web programmable interface for composing attack vectors with JavaScript and other client (and server) related technologies. The current release supports several browser based attacking techniques and simple but powerful JavaScript console.

Habrá que ver qué tipo de cosas se harán con esta API.

Notificaciones en PostgreSQL

.NET

Desde la versión 8 de este magnífico ORDBMS, existe un mecanismo que permite enviar y recibir notificaciones de manera muy simple.

code:
test=# LISTEN foo;
LISTEN
test=# NOTIFY foo;
NOTIFY
Notificación asíncrona «foo» recibida del proceso de servidor con PID 8872.
test=#

Esta característica -como menciona la documentación- es especialmente útil cuando existen procesos que deben estar englobados por una transacción, ejm. enviar un mail luego de la ejecución satisfactoria de un conjunto de procesos críticos.

A continuación un pequeño ejemplo realizado con el proveedor Npgsql, que implementa la caracterísca mencionada.

csharp:
// Encargado de 'escuchar' las notificaciones
using System;
using Npgsql;
using System.Net.Mail;
using System.Net;

namespace listener
{
    class Program
    {
        static void Main(string[] args)
        {
            NpgsqlConnection connection =
                new NpgsqlConnection("uid=alex;pwd=***;server=localhost;encoding=unicode;SyncNotification=true;database=test;");

            connection.Notification += new NotificationEventHandler(connection_Notification);

            // Escuchar las notificaciones con el nombre 'proceso_largo'
            using (NpgsqlCommand command =new NpgsqlCommand("LISTEN proceso_largo;", connection))
            {
                connection.Open();
                command.ExecuteNonQuery();
            }

            Console.WriteLine("Esperando notificaciones...");
        }

        static void connection_Notification(object sender, NpgsqlNotificationEventArgs e)
        {
            Console.WriteLine("Notificación Recibida: {0}\t{1}", e.Condition, e.PID);

            // Hacer algo útil

            SmtpClient client =new SmtpClient("smtp.empresa.com");
            client.Credentials =new NetworkCredential("usuario@empresa.com", "password");

            client.Send(
                "aplicacion_x@empresa.com",
                "logs@empresa.com",
                "Notificación aplicación_x",
                "Notificación: " + e.Condition + "\tPID : " + e.PID // ...
                );
        }
    }
}

Un cliente cualquiera:

csharp:
using System;
using Npgsql;
using System.Threading;

namespace app
{
    class Program
    {
        static void Main(string[] args)
        {
            Console.WriteLine("Iniciar Aplicación - Presione una tecla...");
            Console.Read();

            using (NpgsqlConnection connection =
                new NpgsqlConnection("uid=alex;pwd=***;server=localhost;encoding=unicode;database=test;"))
            {
                NpgsqlTransaction transaction = null;

                try
                {
                    connection.Open();
                    transaction = connection.BeginTransaction();

                    NpgsqlCommand command =new NpgsqlCommand("select current_date;", connection, transaction);

                    Console.WriteLine("Recuperando la fecha");
                    command.ExecuteScalar(); // hacer algo

                    Console.WriteLine("Enviando notificación - Transacción NO 'comprometida'.");
                    command.CommandText = "NOTIFY proceso_largo;";
                    command.ExecuteNonQuery(); // No ejecuta la notificación

                    // Continúa la transacción
                    Thread.Sleep(2000);
                   
                    transaction.Commit();
                    Console.WriteLine("Transacción 'comprometida', recien se envía la notificación 'proceso_largo'");
                }
                catch (NpgsqlException)
                {
                    if (transaction != null)
                        transaction.Rollback();
                    throw;
                }
            }
            Console.Read();
        }
    }
}

Además de las cosas mencionadas sobre esta característica de PostgreSQL, también podría servir como un mecanismo para que el Cache tenga datos coherentes.

Nota: Disculpen si encuentran malas prácticas de programación :-) .

Elementos utilizados

BlogDay 2006

Varios

No nos queríamos quedar atrás con este famoso blogday aunque sea un poco tarde, pero ahi les mando mis 5 blogs recien descubiertos:

  • Feed Usolab: Un blog sobre usabilidad, descubierto hace poco con post muy interesantes desde la computadora hasta la misma vida real.
  • Feed No puedo creer que lo hayan inventado: Interesante blog sobre cada cosita innovadora que últimamente inventan las personas de este loco mundo.
  • Feed Oscar y Bilgüeits: Una tira cómica muy entretenida, tomando especialmente casos peruanos.
  • Feed Los archivos desconocidos: Reseñas y enlaces sobre música Chill Out - Ambient - Electronic - New Age - World Music - Fussion y mas. Recomiendo Café Inkaterra.
  • Feed Tu Función: Blog sobre el mundo de la programación y el diseño casi parecido al nuestro con la diferencia de que ellos publican más seguido :P .

Agradecemos especialmente a Feed Melkorcete por habernos tomado en cuenta como uno de sus blogs favoritos.

Esperamos trabajar más para seguirles sirviendo como lo hemos estado haciendo estos casi 2 años de vida del blog y hasta el próximo blogDay.

Technorati Tag: BlogDay2006

ClickOnce y Firefox

.NET

La implementación ClickOnce permite publicar aplicaciones basadas en Windows en un servidor Web o en recurso compartido de archivos de red para simplificar la instalación. Visual Studio ofrece compatibilidad total para la publicación y actualización de aplicaciones implementadas con ClickOnce. La implementación ClickOnce está disponible para los proyectos creados con Visual Basic, Visual C# y Visual J#, pero no para Visual C++

Fuente: MSDN.

Leyendo uno de los mensajes de la lista de desarrollo de mono, me enteré que existe -desde hace un buen tiempo- una extensión para Firefox, que permite instalar las aplicaciones desplegadas con ClickOnce de una manera similar a lo que se hace con IE.

Sin duda una extensión muy útil para los zealots de .NET y Firefox. :-D

Mono 1.1.17

.NET

Acaba de liberarse la versión 1.1.17 de mono, una de las novedades más importantes de este release es que las versiones anteriores del compilador y runtime de Visual Basic .NET -hechas en C#- han sido eliminadas en favor de un nuevo runtime y compilador, ambos desarrollados íntegramente en Visual Basic .NET. Otra de las "novedades" es que mi primer y muy simple parche ha sido incluido en esta versión :-P .

Las descargas están disponibles en http://www.mono-project.com/Downloads

Y el ganador es…

Varios

El afortunado ganador de este pequeño sorteo es: Emilio Velardiez

Felicitaciones al ganador y muchas gracias a las demás personas por participar, esperamos que algún día podamos volver a hacer este tipo de cosas. :-)

Nota: Para los interesados en saber como se ha realizado este proceso, pongo a disposición el código fuente que se usó y una pequeña animación -hecha con Macromedia Captivate- del momento cumbre :-P

Quiz: Números aleatorios en .NET

.NET, Quiz

La siguiente porción de código será usado para determinar el ganador del sorteo del voucher para un exámen de certificación Microsoft

csharp:
using System;
using System.Collections.Generic;
using System.IO;

class Participante
{
    private string Nombre, Email;
    public Participante(string nombre, string email)
    {
        Nombre = nombre;
        Email = email;
    }
    public override string ToString()
    {
        return string.Format("Nombre: {0}\t\tEmail: {1}", Nombre, Email);
    }
}
class Program
{
    static void Main(string[] args)
    {
        StreamReader reader = null;
        try
        {
            reader = new StreamReader("sorteo.txt");
            List<Participante> participantes = new List<Participante>();
            string line;

            while ((line = reader.ReadLine()) != null)
            {
                participantes.Add(new Participante(line.Split(',')[0], line.Split(',')[1]));
                Console.WriteLine(participantes[participantes.Count - 1]);
            }
           
            int ganador = ObtenerGanador(participantes.Count);

            Console.WriteLine("\n\nEl ganador es: {0}", participantes[ganador]);
        }
        finally
        {
            if (reader != null)
                reader.Close();
        }
    }
    public static int ValorAleatorio()
    {
        int semilla = DateTime.Now.Millisecond;
        Random rnd = new Random(semilla);
       
        int maximo = rnd.Next(0, semilla) * semilla;
       
        return rnd.Next(0, maximo % int.MaxValue);
    }
    public static int ObtenerGanador(int numeroParticipantes)
    {
        int ganador = 0;
        for (int i = 0; i < numeroParticipantes; i++)
            ganador += ValorAleatorio();

        return ganador % numeroParticipantes;
    }
}

El archivo sorteo.txt, tiene la siguiente estructura:

code:
Nombre Apellidos,Email
Nombre Apellidos,Email
Nombre Apellidos,Email

Determinen si el código mostrado sirve o no para los propósitos antes mencionados, si observan algún comportamiento raro, comenten abajo indicando las correcciones del caso.

Pueden descargar el código en C# o VB, para compilarlo -como se habrán dado cuenta- necesitan el .NET Framework 2.0

Nota: El código se ejecutará en una máquina con procesador AMD Athlon 64 3200+ y 1GB RAM.

Sitios MultiIdioma – ezSQL Database Class

Artí­culos, PHP

ezSQL Database Class como su nombre lo dice es una clase escrita en PHP que nos facilita el acceso a base de datos, podemos usarlo con MySQL, Oracle8, InterBase/FireBird, PostgreSQL, SQLite o MS-SQL pero para nuestro caso en particular lo usaremos para MySQL.

En esta oportunidad les mostraré algunos ejemplos de su uso y en adelante veremos su aplicación con el pequeño sistema que queremos desarrollar.

Creo que la mayoría de nosotros hemos empezado nuestros primeros scripts en PHP siguiendo el consejo de diferentes tutoriales, foros, consejos de amigos o el mismo manual de PHP y todos hemos escrito esto:

PHP:
// Conexion, seleccion de base de datos
$enlace = mysql_connect('servidor', 'usuario', 'password') or die('No pudo conectarse : ' . mysql_error());
echo 'Conexión exitosa'; mysql_select_db('mibase') or die('No pudo seleccionarse la BD.');
// Realizar una consulta SQL
$consulta = 'SELECT * FROM mi_tabla';
$resultado = mysql_query($consulta) or die('La consulta falló: ' . mysql_error());
// Impresion de resultados en HTML
echo " <table>\n";
while ($linea = mysql_fetch_array($resultado, MYSQL_ASSOC)) {
    echo "\t <tbody> <tr>\n";
    foreach ($linea as $valor_col) {
        echo "\t\t <td>$valor_col</td>\n";
    }
    echo "\t</tr>\n";
}
echo "</tbody></table>\n";
// Liberar conjunto de resultados
mysql_free_result($resultado);
// Cerrar la conexion
mysql_close($enlace);

Con ezSQL podemos simplificar muchas de estas tareas que las repetíamos cada vez que teníamos que seleccionar un registro o registros, insertar, actualizar o borrar como veremos a continuación.

Para el ejemplo usaré una tabla simple con la siguiente estructura que llamaremos "mi_tabla":

  • idpersona
  • nombre
  • email

Incluimos los archivos necesarios y creamos una instancia de la clase:

PHP:

include_once "../shared/ez_sql_core.php";
include_once "ez_sql_mysql.php";
$bcdb = new ezSQL_mysql('usuario','password','mibase','servidor');
 
Ahora lo interesante:
PHP:

// Para insertar un nuevo registro
$bcdb->query("INSERT INTO mi_tabla VALUES (NULL, 'braulio', 'mail@buayacorp.com')");

// Si queremos recuperar el id de este último pues
$ultimoid = $bcdb->insert_id;

// Para seleccionar todos los registros de la tabla
// El segundo parámetro indica si nuestros resultados serán arreglos asociativos (ARRAY_A) o arreglos numéricos (ARRAY_N)
$resultados = $bcdb->get_results("SELECT * FROM mi_tabla", ARRAY_A);

// y mostrarlos
foreach($resultados as $k => $v) {
  echo "Nombre: " . $v["nombre"];
  echo "Email: " . $v["email"];
}

// Para seleccionar una fila y mostrarla
$resultado = $bcdb->get_row("SELECT * FROM mi_tabla WHERE idpersona = '$ultimoid'", ARRAY_A);
echo "Nombre: " . $resultado["nombre"];
echo "Nombre: " . $resultado["email"];

// Para seleccionar sólo una variable y mostrarla
$nombre = $bcdb->get_var("SELECT nombre FROM mi_tabla WHERE idpersona = '$ultimoid'");
echo $nombre;

// Para actualizar y borrar
$bcdb->query("UPDATE mi_tabla SET nombre = 'Andres' WHERE id = $ultimoid");
$bcdb->query("DELETE FROM mi_tabla WHERE id = $ultimoid");
 

Resumiendo los métodos que nos ofrece la clase tenemos:

  • El método query: Sirve para hacer consultas del modo "ExecuteNonQuery" osea que no devuelven resultados, esto nos sirve para INSERT, UPDATE y DELETE.
  • El método get_results: Sirve para las consultas que devuelven todos los datos de un tabla, y nos devuelve una matriz de resultados
  • El método get_row: Nos devuelve sólo una fila de una consulta.
  • El método get_var: Nos devuelve sólamente una variable.

Esta librería tiene muchas mas cosas que nos ayudarán a manejar nuestra base de datos, pero no hablaremos de todo en esta entrada, si desean revisarlo más a fondo pueden leer la documentación.

Enlaces