jejeje, y andá preparandote para esta:
http://blog.segu-info.com.ar/2009/05/grave-vulnerabilidad-en-iis-de-vuelta.html

Abrazo

Javier

Dejo otro link con ideas

http://www.blogpirate.org/2009/05/19/securing-your-php-code-against-sql-injections-javascript-injections/

Programador web.. O sos programador o haces web. Sos un caradura.

…y no hay nada peor que preguntarle a un programador PHO si sabe hacer/prevenir SQL inyection o quality assurance y que te responda: “si, optimizacion de bbdd se hacer” y “eso de la calidad es de otro depto”

Creo que en un proyecto mediano a grande (y probablemente para los chicos también) la única forma de salvarse de un desastre es restringiendo MUCHO los permisos que el usuario del motor de base de datos que el sistema utiliza, y los del motor mismo respecto del usuario del sistema operativo. Y digo salvarse de un desastre (un drop de una tabla), que los pequeños problemas (acceso a datos no autorizado, con mayor o menor gravedad) no te los sacas nunca de encima.

Digo, hay buenas herramientas para detectarlo, y lo minimizan bastante… pero parece que los programadores encuentran… encontramos, bah, nuevas formas de meter la pata.

Aunque la que comentas es bastante grosera, vale por un tirón de orejas.

cristian: gracias

pablo: si, abundan.. lo bueno es que se auto-filtran rápidamente

andrés: muy buen concepto. también el tema es que rara vez hay un buen sys admin con buen manejo de mysql para hacerse unos buenos usuarios

Nada de lo que dicen me parece valido desde el momento que un diseñador guarda la clave asi como esta en una base de datos sin siquiera un md5 de por medio. Se merecen el injection.
De vuelta, me parece que el mundo de los que dicen programar esta minado de problemas que o son inventados o son terriblemente sobreestimados.
Señores, si diseñan y saber pensar, primero, despues no tienen que pensar en estas cosas.

diseñador?? en proyectos chicos como estos de agencias chicas como esta? no existen.