Premios

Querido Irra, parece mentira que todavia no te hayas enterado (o puede que si) que estos premios son para quien más paga. Lo que es una verguenza son los que presenta cada año la AUI: http://aui.es/premios/ . Todavia recuerdo el año pasado que ganó "AMENA" un premio cuando esa web es un claro ejemplo de anti-usabilidad.
En fin...
Venga, un saludo.

Una de las pruebas básicas a las que deberíamos someter nuestras páginas dinámicas es a la correcta interpretación de los tipos de dato que esperamos como parámetro en la url. Es decir, si esperamos un entero, pues verificamos que no nos pasen un valor alfanumérico, etc.

EJEMPLO:

Pues bien, he realizado una pequeña pruebas en una de las webs finalistas de El Correo. La página escogida es GARHE:Ferretería doméstica.

Cuando abrimos la página, aparece un enlace que pone "PICADURAS" en el menú del lado izquierdo. El enlace al que apunta es:
http://www.garhe.com/castellano/listado_regno.asp?cod=1

Observamos que cod=1

Ahora, lo que vamos a hacer es modificar la variable cod y poner una x al final. O sea, que la url de pruebas nos quedaría como
http://www.garhe.com/castellano/listado_regno.asp?cod=1x

El error se produce y se nos indica en qué fichero fuente y el número de la línea. Parece que aquí solo probaron los caminos esperados y correctos.

En algunos casos estos errores dejan al descubierto partes de código fuente, pudiéndose volver vulnerable e inestable nuestro sistema.

Perdonar por el post tan largo...

Un saludo a tod@s

En estos casos, es mejor pasarle el parámetro de querystring como un literal y no olvidarse del "case default" para evitar errores como este: http://www.garhe.com/castellano/listado_regno.asp (sin querystring)
Pero bueno, como dice Jesús, esta web es "FINALISTA" y no "GANADORA".(la del GRUPO FAUSTINO no tiene contenidos dinámicos y por tanto, no tiene esos "problemillas")
Salud.