PHP | Jugando entre diseñadores

Facebook: Crear una aplicación no es tan complicado

22 de marzo de 2010 | Etiquetas: api, facebook, PHP | Categoría: PHP

Hace tiempo que quería trastear las aplicaciones para Facebook, aunque al no surgime la oportunidad de hacer nada con su API, lo había dejado un poco de lado. Pero hace un par de semanas me pidieron ayuda para conseguir que a través de una web, pudieran publicar algo en el muro de Facebook.

Me puse a investigar un poquito y caí en el tutorial Crear aplicación “Hello World” en Facebook con PHP, desde Cristalab nos explican el paso a paso para dar de alta una aplicación en Facebook y empezar a trastearla.

El caso es que crear una aplicación en Facebook no es tan complicado como parece, más o menos el tema está así:
- Debes tener en tu alojamiento una aplicación hecha, por ejemplo, con PHP.
- Entramos al apartado para Desarrolladores y damos de alta una nueva aplicación.
- Le ponemos un nombre, indicamos la ruta a nuestro alojamiento y rellenamos todos los campos.
- Descargamos la API de Facebook y la conectamos con nuestra aplicación.

Ahora, cuando entremos a la página dedicada a nuestra aplicación en Facebook, aparecerá lo que tengamos en nuestro alojamiento.
Además, si queremos utilizar datos del perfil de quién tenga la sesión iniciada, podremos utilizar las FBML (Facebook Markup Language).

Por ejemplo, con: <fb:name uid=”<?php echo $id_usuario; ?>” useyou=”false” />
Mostramos el nombre del usuario, con useyou en false evitamos que muestre “You” en lugar de tu nombre (podéis ver de donde sacamos la variable $id_usuario en el tutorial que os indiqué antes).

Hay una lista con las FBML que podemos utilizar y un test para probar que funcionen correctamente antes de añadirlas a nuestra aplicación.

Y ya podemos crear una aplicación con la que nuestros amigos colapsen sus muros xD

Twittea esto Guardalo en Delicious Compartelo en Facebook

SQL Injection en MySQL ¿Qué es y cómo evitarlo?

21 de enero de 2010 | Etiquetas: mysql, PHP | Categoría: mysql

Cuando hablé sobre los ataques de Black Hat SEO, os conté muy por encima que es un ataque por SQL Injection. Pues hoy vamos a ver una forma de evitarlos.

¿Qué es un ataque por Inyección SQL?
Con un ataque de este tipo lo que intentan es conseguir la información que almacenamos en nuestra base de datos, modificarla o incluso eliminarla. Para ello localizan archivos a los que les pasamos variables a través de GET o POST.

Vamos a ver un ejemplo, si tenemos un archivo con una query de este estilo:

&query='DELETE * FROM noticias WHERE id="'.$_GET['id'].'"';

En un archivo llamado noticias.php y le pasamos el parámetro id por la url (get), podrán atacarnos llamando al archivo y modificando los parámetros a pasarle:

noticias.php?id=12" OR 1="1

Si volvemos a la query, veremos que con los nuevos parámetros, esta quedaría así:

&query='DELETE * FROM noticias WHERE id="12" OR 1="1"';

Por lo que modificarían nuestra query, haciéndola siempre posible, pues 1 es igual a 1, por lo tanto eliminaría todas las noticias de nuestra tabla, cuando nosotros lo que queríamos era eliminar una única noticia.

En el caso de pasar las variables por POST también sería posible el ataque, pues añadirían el código malicioso en un campo del formulario dando el mismo resultado.

¿Cómo evitamos un ataque de este tipo?
Cómo no queremos que nos arruinen de por vida, vamos a utilizar dos funciones php muy útiles: sprintf y mysql_real_escape_string. Si las aplicamos a nuestra query, quedaría así:

$query = sprintf("DELETE * FROM noticias WHERE id='%d'",
 mysql_real_escape_string($id));

Con sprintf damos formato a nuestra sentencia asignando el espacio justo para los parámetros a recoger (%d para un número, %s para una cadena, etc) y con mysql_real_escape_string escapamos caracteres especiales, por lo que si nos hicieran el mismo ataque (12″ OR 1=”1) nos devolvería esto:

&query='DELETE * FROM noticias WHERE id="12"';

Cómo véis sólo permanece el 12, eliminando el trozo ” OR 1=”1 y evitando así que la consulta siempre sea posible.

Porque más vale prevenir que curar

Twittea esto Guardalo en Delicious Compartelo en Facebook

Sentencias MYSQL: Campos de varias tablas en la misma query

7 de enero de 2010 | Etiquetas: mysql, PHP, sentencias | Categoría: mysql

SELECT DISTINCT tabla1.campo1, tabla2.campo2 as nuevonombre, tabla3.campo3
FROM tabla1, tabla2, tabla3 WHERE tabla1.campo1=tabla3.campo1 ORDER BY
tabla2.campo2

Muchas veces necesitamos seleccionar información de diversas tablas para poder trabajar, pero como nos gusta ahorrar código pasamos de hacer varias querys, si podemos utilizar sólo una.

En el ejemplo de arriba muestro cómo utilizar un select de distintas tablas. Cosas a tener en cuenta:

- Siempre tenemos que indicar antes del nombre del campo, el nombre de la tabla en la que se encuentra, separados por un punto. Ejemplo: tabla1.campo1
- En el FROM deberán estar todas las tablas utilizadas.
- Podemos asignar campos que no tengamos seleccionados para mostrar en el WHERE.
- También podemos ordenar por campos de diversas tablas.
- DISTINCT elimina las filas duplicadas, se puede dar el caso al trabajar con varias tablas.
- Si tenemos nombres de campos iguales en diferentes tablas, podemos ~~cambiarles el nombre~~ asignarle un nombre más corto para utilizarlas en nuestra query (no se cambiará en la bbdd) utilizando as. Ejemplo: tabla2.campo2 as nuevonombre

Advierto: Trabajar con muchas tablas y campos en la misma query puede causar problemas de cordura

Actualizado 08/01/2009: Mirar los comentarios! Hay más información útil!

Twittea esto Guardalo en Delicious Compartelo en Facebook

Sentencias MYSQL: LIMIT 5,10

9 de septiembre de 2009 | Etiquetas: mysql, PHP, sentencias | Categoría: mysql

SELECT * FROM table LIMIT 5,10

Con la sentencia anterior podemos seleccionar 10 elementos de la tabla “table” empezando por el número 6 e ignorando los 5 primeros. Usease que si tenemos 20 elementos habremos seleccionado del 6 al 15.

1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19 y 20.

Si añadimos como segundo parámetro de LIMIT un numero suficientemente grande seleccionará todos los elementos a partir del indicado, en el ejemplo anterior 6.

Recordad también que si usamos LIMIT con un sólo parámetro, estaremos cogiendo sólamente los 8 primeros elementos de nuestra tabla, por ejemplo:

SELECT * FROM table LIMIT 8

Queda inaugurada mi nueva categoría Sentencias MySQL

Twittea esto Guardalo en Delicious Compartelo en Facebook

5 pages

Jugando entre diseñadores

Facebook: Crear una aplicación no es tan complicado

SQL Injection en MySQL ¿Qué es y cómo evitarlo?

Sentencias MYSQL: Campos de varias tablas en la misma query

Sentencias MYSQL: LIMIT 5,10

No te puedes ir sin leer estos artículos

Mi blogroll

Alguien dijo que

Acabo de escribir sobre

FotoFlickr

Lifestream

August 11th

August 3rd

Facebook: Crear una aplicación no es tan complicado

SQL Injection en MySQL ¿Qué es y cómo evitarlo?

Sentencias MYSQL: Campos de varias tablas en la misma query

Sentencias MYSQL: LIMIT 5,10

No te puedes ir sin leer estos artículos

Mi blogroll

Alguien dijo que

Acabo de escribir sobre

Aquí se habla de

FotoFlickr