Leo en error500 que ha salido AjaxWrite, un procesador de textos online que pretende superar al Word de Microsoft Office. Me he dispuesto a probarlo (puedes hacerlo aquí http://www.ajaxwrite.com/) y para empezar, sólo puedes hacerlo con Firefox 1.5, así que de poco te sirve el editor si quieres usarlo en un sitio cualquiera, ya que probablemente no tendrán esta versión de firefox o ni siquiera tendrán firefox, sólo IE. Luego las funcionalidades son por ahora muy básicas, no va más allá de lo que se podría hacer con el mítico Wordpad.

Además, no aprovecha de momento ninguna característica online, no permite guardar documentos en una cuenta online, ni compartirlos.

La aplicación ocupa unos 26,488MB en memoria, con un documento simple, (21,096MB Firefox + 5,392MB aplicación ajax), un valor muy cercano a lo que ocupa wordpad (7,144 MB)

Lo que me ha sorprendido es que la aplicación va bastante rápida y fluida y carga con bastante rapidez, pero me gustará ver lo que pasa cuando lo hagan mucho más complejo.

En mi opinión aún les queda mucho tiempo para superar al Word del MS Office o al Writer del OpenOffice.org y han hablado demasiado para generar “audiencia”.

Ayer un amigo me comentaba que nada más entrar en el trabajo su jefe le abroncó, me explicó que su código ASP (vbs) era vulnerable a inyecciones SQL, y tenía que solucionarlo.

Una inyección SQL se da cuando el código que maneja la consulta no es lo suficientemente sólido y permite manipular una consulta desde fuera. Por ejemplo:

SELECT * FROM tabla WHERE id = ” & ide & “

Basta con que el atacante abra la url de esta forma url.php?ide=1;DROP TABLE tabla; para cargarse toda la tabla, así de fácil.

Como solución le propuse convertir esa variable a entero, usando cint, ide = cint(ide), de esa forma nunca podría colarse otra cosa que no fuese un número.

En el caso de las cadenas, la solución está en “escapar” las comillas, con un simple Replace(cadena,”‘”,”””)

Hay soluciones mucho mejores para estos problemas, como usar parametrización de consultas, ADODB lo soporta, lo explican en su documentación.

Otra solución también bastante efectiva es la de PHP, que tiene activadas las magic_quotes por defecto y escapea cualquier parámetro que venga de GET o POST, evitando muchos de estos ataques.