Hace unos meses ni me hubiese planteado trabajar como programador de una manera más o menos seria, iba haciendo cosas de freelance y sacándome un dinero que me bastaba.

Pero hace un mes recibí una oferta de trabajo muy interesante, en la que puse mucha ilusión pero que, cosas de la vida, cuando ya estaba todo encaminado se deshizo. Y ahí se quedó mi primer intento de convertirme en un programador a media jornada.

Esa oferta inesperada me abrió los ojos, había una manera de pagarme la carrera, aprender programación a marchas forzadas e ir aprendiendo que es el mundo laboral. Así que desde entonces voy mirando ofertas de empleo y mandando emails y CV a las que me parecen interesantes, ya sea porque les veo futuro, porque están cerca de donde vivo o buscan freelancers.

A día de hoy, después de unos cuantos mails mandados estoy en el punto de inicio aún, esperando la prometida respuesta a todos los emails que mandé.

Sinceramente, me parece normal, me considero programador junior, sin mucha experiencia y sin haber recibido ninguna clase de programación -quitando las de la universidad- pero pensaba que las empresas buscaban gente así, sin mucha experiencia y con ganas de aprender -moldeables vamos.

Mientras llega el día esperado solo me queda ir aprendiendo por mi cuenta, y quien sabe, igual poco a poco, aprendiendo cada día algo nuevo llego al punto en que yo rechazaré a estas empresas.

Si sabéis de alguna buena oferta no dudéis en hacérmela llegar.

Al parecer esto se va a convertir en una serie de posts. Corregidos los dos errores que encontrasteis en la versión anterior he seguido ampliando el CMS, lo único que le he hecho ha sido incluir la posibilidad de poder comentar cada post.

Parece poco para hacer otro parón a ver si encontráis fallos pero yo no lo creo así, con esto he añadido unos cuantos campos que van casi directamente a la Base de datos, un camino común para hacer SQL injection.

Así que ya sabéis como va la cosa, yo lo dejo ahí, indefenso, en vuestras manos y vosotros intentáis explotar el máximo de vulnerabilidades posibles. No os de miedo romper algo, esto lo hago precisamente para eso y así ir aprendiendo, solo pido que a cambio confeséis vuestros actos.

La url es la misma de siempre: tonsofweed.com

Error 1: Me olvidé de comprobar que si un post pedido existía o no, con un simple if lo he solucionado. Gracias Dr Zippie.

Error 2: Este era más complicado, pero creo que he logrado solucionarlo. Agradecería a alex que intentara repetirlo.

Una vez solucionado el primer fallo por mi parte, porque no se puede llamar ni vulnerabilidad me toca dar un paso más.

Así que os reto a que explotéis alguna vulnerabilidad del CMS, lo podéis encontrar en tonsofweed y es todo vuestro, si tenéis un rato y os queréis entretener intentando encontrarle algún fallo quedaréis satisfechos.

Lo único que pido a cambio es que el que consiga “romper” algo luego me lo diga, más que nada que para cuando lo solucione le ponga por aquí un link y explique lo sucedido.

Error 1: Tengo que decir en mi defensa que me dio pereza cambiar la forma de mostrar los errores de login y por eso lo dejé así, no pensaba que os fijarais en eso -sois buenos. Lo he solucionado con una variable de session. Gracias alex

Error 2: Esto si que no me lo esperaba, supongo que ya está arreglado, simplemente he quitado los or die(error()) de las consultas a la Base de datos. Gracias IgnacioMarcos

Un sencillo hack para incluir la fecha actual en un campo de MySQL, bastante sencillo e incluso algo obvio pero me costó un rato darme cuenta de que era la mejor opción.

$query = "INSERT INTO posts (title, content, date) VALUES('$title','$post',now())";