Desde hace un tiempo que quiero armar algunos posts sobre horrores que veo en la web, pero aveces no me decido o me tapa el tiempo u otras cosas… pero hoy me saqué con lo que vi…. así que acá va….

Me pasaron el link de http://www.redpanal.com , un nuevo sitio que promete poder convertirse en algo interesante, pero que dudo que lo logre, al menos en su formato actual, pero eso es para otro post. Y me puse a mirar el desarrollo….y la verdad que deja que desear…

Por ejemplo utilizando el siguiente link http://www.redpanal.com/buscar.php?&q=tango&sort=NO_EXISTE se puede ver un error que sale por pantalla y se muestra la sentencia SQL con el error, el primero es un error de configuración del php y el segundo un error de programación pasar datos al query sin validar.

O este otro: http://www.redpanal.com/buscar.php?&q=amador&enviar=Buscar&sort=p.genero%20ASC donde se puede ver al final del link que se usa la sentencia SQL en el HTTP GET para ordenar las listas.

O editando el perfil del usuario (para esto hay que registrarse), se puede llegar a este error ingresando comillas en el nombre:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'hola mundo'', nombre = 'nelson-fernandez', sexo_id = 0, fecha_nacimient' at line 3
UPDATE usuarios SET nombre_contacto = ''hola mundo'', nombre = 'nelson-fernandez', sexo_id = 0, fecha_nacimiento = '--', sitio_web = '', blog = '', AIM = '', yahoo = '', MSN = '', gtalk = '', skype = '', pais_id = 0, provincia = '', ciudad = '', codigo_postal = '', descripcion = '', is_suscripcion_newsletter = 0, is_mail_publico = 0, is_alertas = 0, modified = '1214349162' WHERE id = 595 

Donde se puede obtener como esta armada la base de usuarios.

Viendo eso, solo queda dedicarle algo de tiempo y entusiasmo a http://www.redpanal.com/dologin.php y seguro que algo se va a lograr.

Otro sitio que llamó mi atención fue la parte de clasificados de CriticalDigital. Si se entra a esta página http://clasificados.criticadigital.com.ar/articulos.php y se busca por el tag “type=’hidden’” en el fuente html se van a ver los parámetros para la búsqueda SQL … embebidos en el form HTML !!! ... lo cual lo hace muy apetitoso de ponerse a jugar….. y si se pone uno a mirar el SQL que utiliza para filtrar los distintos tipos de clasificados (autos,casas) es peor todavia ! ... para hacer el filtro utiliza esta sentencia (solo pego la condición del sql):

CLASIFICADO.ID_CLASIFICADO NOT IN (SELECT ID_CLASIFICADO FROM AUTO) AND  CLASIFICADO.ID_CLASIFICADO NOT IN (SELECT ID_CLASIFICADO FROM CASA)

Necesita de 3 selects para filtrar una vista por un artículo a la venta !! y si al sitio le llegara a ir medianamente bien, el costo de armar ese filtro seria carísimo !!! y nuevamente se muestra a los posibles hackers información de cómo están construidas las tablas y poder deducir otras partes del sitio.

Horrores…

Creamos también el grupo de CodeAR en la red Sónico.

Están todos invitados también los que anden por ahí !

Se a creado el grupo CodeAR en Facebook, para integrarlo solo deben agregarse al mismo, es totalmente abierto.

A todos los interesados en participal también por ese medio están invitados !

El 30 de diciembre del 2007 a las 0 hora comenzará a regir el uso horario de GMT-2 hasta el 16 de marzo del 2008 donde se volverá a utilizar GMT-3.

En Linux en /usr/share/zoneinfo está la información de zonas horarias y DST (Daylight Saving Time) de cada país (en el paquete tzdata). Esta información esta compilada en formato binario para poder ser accedida más rápido.

La gente de Debian y Ubuntu están haciendo los paquetes respectivos para actualizar los datos, pero no se si van a llegar a tiempo a los repositorios para una actualización. Para aquellos que quieran actualizar los archivos ahora o esperar a último momento, les dejo una receta.

Estando como usuario root (sudo -s) verificar que no existan configuraciones de DST

zdump -v /etc/localtime | grep 2007

luego bajar al directorio /tmp la nueva configuración temporal del archivo de zona para Argentina, descompactarlo

gzip -d zoneinfo.ar.new.gz
y ejecutar
zic -l America/Argentina/Buenos_Aires zoneinfo.ar.new

Esto compila e instala las zonas de Sudamérica y además recrea el /etc/localtime apuntándolo a la zona de Buenos Aires

Ahora si volvemos a ejecutar

zdump -v /etc/localtime | grep 2007

va a mostrarnos la configuración de DST para el 30 de diciembre.

No se ha incluido la configuración para el 16 de marzo… pero debería venir en la actualización del paquete de la distribución de linux muy pronto.

pd: si funciona todo corrento, créditos y agradecimento a ArCERT (gracias rodo!), si funciona mal, críticas y sugerencias en los comentarios….

Como sería un tarjeta de presentación para la web ?
que debería tener ?

Mi primer intento está en: http://nelson.netflux.com.ar en ella se consolidan todos los datos que considero relevantes

• algunos datos personales
• datos de contacto
• relación con proyectos propios
• participación en sitios sociales

como datos técnicos tiene

• consolidación de distintos servicios en una sola dirección de correo
• hCard y vCard
• delegación de OpenID

espero comentarios y sugerencias !