En la mayoría de los casos las variables pueden contener cadenas de caracteres que pueden romper otras cadenas donde son introducidas, como ser fragmentos de código SQL, maquetas HTML, campos input o textarea.

Algunos casos más severos que otros, siendo las inyecciones SQL un problema de seguridad en aquellos sitios que no han tomado los recaudos necesarios.

Nuestro lenguaje de programación web de preferencia es PHP, por lo tanto también tenemos preferencia por el motor MySql. Así que les mostraremos algunos consejos para utilizar en estas plataformas.

¿Qué es escapar?

Escapar un carácter es ante poner una contra barra detrás de él.

$variable = “Cadena de texto \”entre comillas\”.”;
echo $variable;

Como verán, las comillas que corresponden a la cadena se escapean con el carácter \, permitiendo esto que las comillas puedan ser guardadas dentro de la cadena, evitando que se confundan con el cierre. Esta salida se verá así:

Cadena de texto “entre comillas”.

Los caracteres reservados de un lenguaje deben ser escapados para que en su compilación no se abran las cadenas ni se mal interprete el código.

Función mysql_real_escape_string() -> http://ar2.php.net/mysql_real_escape_string

Es seguramente una de las funciones mejor concebidas para concatenar variables dentro de una consulta dirigida a MySql.

- Representaremos un error:
En la url tenemos: http://www.unsitio.es/producto.php?idprod=‘ AND idusuario = ‘34

En php tenemos:
$idprod = $_GET[‘idprod'];
$SQL = “SELECT * FROM productos WHERE idprod = ‘$idprod”

Si compilamos esto quedaría:
SELECT * FROM productos WHERE idprod = ‘‘ AND idusuario = ‘34′

$idprod puede ser una variable introducida por $_GET mediante la url, es un uso habitual para mostrar detalles de productos en una plantilla php, pero mal utilizada por un navegante puede fácilmente rompe una cadena y devolver errores en pantalla y meticulosamente ir descubriendo la estructura de la Base de Datos.

Si hiciéramos:

$ id_user = mysql_real_escape_string($_GET[‘id_user']);
$SQL = “SELECT * FROM productos WHERE idprod = ‘$id_user”

Esto quedaría:
SELECT * FROM productos WHERE idprod = ‘\‘ AND idusuario = \‘34′

De esta forma logramos que la cadena ingresada sea estrictamente registrada como una cadena de texto, y así la consulta no se romperá. En el peor de los casos, no devolverá resultados.

Ahora bien, esto no es todo. Existen otros errores posibles que puede ocurrir cuando vamos a comparar parámetro por $_GET, que ha sufrido alguna modificación accidental.
Por ejemplo:

$idprod = mysql_real_escape_string($_GET[‘idprod']);
SELECT * FROM productos WHERE idprod = ‘$idprod ‘;

Será: SELECT * FROM productos WHERE idprod= ‘54ç’

Esto no devolverá resultados, y veremos una planilla con la información sobre el producto, prácticamente vacía.
Lo correspondiente a realizar cuando necesitamos recibir un parámetro netamente entero, es parsear el valor, para ello utilizamos (int)

$idprod = (int)($_GET[‘idprod']);
SELECT * FROM productos WHERE idprod = ‘$idprod’;

Será: SELECT * FROM productos WHERE idproducto = ‘54′

En caso de que $_GET[‘idprod'] sea nulo o alfanumérico sin números en su cadena, el valor parseado será 0. Si tuviera algún número, lo tomará y lo utilizará.
Ejemplo:

$variable = (int)(“101dalmatas”);
echo $variable;

La salida será: 101

Otro aspecto muy importante es ocultar toda muestra de código que pueda salir por pantalla, o evitar mostrar una página que resulta incompleta.

Ejemplo:

En la url tenemos: http://www.unsitio.es/producto.php?idprod=unacadenadetexto

$idprod = (int)$_GET[‘idprod'];
$SQL = “SELECT * FROM productos WHERE idprod = $id_prod”;
(es decir: SELECT * FROM productos WHERE idprod = 0)

Normalmente no existen registros con índice 0, ya que para los lenguajes puede confundirse con un valor nulo. Entonces esta búsqueda no devolverá resultados.

Para lo cual lo correcto es verificar el resultado y evitar que se genere una página sin información:

$idprod = (int)$_GET[‘idprod'];
$SQL = “SELECT * FROM productos WHERE idprod = $id_prod”;
$rsd = mysql_query($SQL, $conexion);
$row = mysql_fetch_assoc($rsd);

if (!$row){
header(“location: error.php”);
die(“error al mostrar producto”);
}

La función header() nos permite redireccionar hacia otra página avisando al usuario sobre el error. Puede ocurrir que la devolución de resultados falle si se están realizando tareas de mantenimiento. O bien que el producto ya no exista.

La idea de re direccionar, es evitar caer en un link muerto. Esto beneficia el posicionamiento web del site, ya que los motores de búsqueda al no encontrar links muertos califican el site con un Rank más alto. Además de la posibilidad de crear una interface más amigable con el navegante.

La función header() debe ejecutarse previamente el encabezado HTML del site. Esto puede parecer engorroso, pero no da problemas en lo más mínimo cuando el código esta aplicado correctamente.

La función die() funciona para cortar el proceso, en caso de que por algún motivo no funcione header(). Es una buena costumbre su utilización.

Al desear obtener estadisticas de los consumos de los procesos de un Servidor dedicado, para preveer la necesidades de futuro de la ampliacion del servidor, nos hemos encontrado con una gran cuestion:

Luego de realizar una intensa investigacion sobre el consumo de rendimiento monitorizando los recursos del servidor, a travez de las graficas de Watchdog en el panel Plesk, hemos detectado que los mismos difieren muchisimo a los valores arrojados directamente por consola SSH con los comandos “top” y “htpop¨

Haciendo comparativas cno los valores arrojados por Watchdog y los valores obtenidos por consola, si graficamos dichos valores de consola, el mismo periodo y los comparamos hemos observado que en realidad el consumo real de los recursos del el servidor es de 1/10 de los valores mostrados en wachdog.

Es decir, si el panel watchdog muestra que el servidor se encuentra a un 100% de su carga, las estadisticas de consola nos indican que la carga es del 10%.

Estas pruebas han sido realizadas sobre un servidor dedicado que tiene dos Intel(R) Xeon(R) CPU E5310  @ 1.60GHz, 4MB cache. Lo que da un total de 8 núcleos.

La herramienta que actualmetne ahora estamos utilizando para monitorizar el consumo de los recursos del servidor es Sysstat, http://pagesperso-orange.fr/sebastien.godard/.

Si alguien se guia por los valores de watchdog, agrademeriamos vuestros comentarios sobre si esta incidencia tambien se les ha producido, para descartar que pueda deverse a alguna version del plesk en concreto. Nuestra version de plesk actual es Plesk, 8.6.

Hemos realizado la pagina web de la primera maratón de carnaval de la historia: http://www.maratondecarnaval.es

Además hemos diseñado la imagen corporativa del evento, tomando como concepto principal la alegría y el color de los carnavales:

El evento se realizará el domingo 4 de octubre a las 12 hs (mediodía), allí actuarán por primera vez juntas en un mismo espectáculo, las 7 mejores chirigotas del carnaval de Cádiz 2009.

La web ha sido realizada con tecnología flash y con contenidos autoadministrables:

En el apartado “Agrupaciones” el usuario administrador del sitio web, gracias al gestor de contenidos autoadministrables, puede ingresar galerías de fotografías y videos, de una manera rápida y sencilla, logrando una autonomia total sobre los contenidos de la web.

Puedes visitar la web haciendo click aquí

Nuevamente un cliente ha confiado en nuestros servicios para el desarrollo de su proyecto web, un nuevo proyecto que demuestra la calidad y responsabilidad con la que trabajamos.

Testimonio de el cliente:

“Muchas gracias por la profesionalidad mostrada. En esta línea y a pesar de la situación del mercado, os ha de ir muy bien.” Daniel Rodríguez Aragón

SolucionesUNO – Un cliente satisfecho, un nuevo proyecto exitoso!