Hack x Crack - Comunidad de Seguridad informática

Seguridad Informatica => Seguridad => Mensaje iniciado por: freeze burn en Abril 18, 2014, 06:32:34 pm

Título: evitar sql inyection
Publicado por: freeze burn en Abril 18, 2014, 06:32:34 pm
que tal queria saber si se puede evitar un sql inyection desde el php con un if y un else gracias
Título: Re:evitar sql inyection
Publicado por: Croceell en Abril 18, 2014, 10:09:22 pm
Muy buenas freeze burn!

Bueno, espero que me entiendas con la explicación que te voy a dar a continuación. ;)

Bueno, esta vulnerabilidad se produce gracias a un error de programación, es decir, humano. Para solucionar este error, primeramente deberíamos haber programado bien la base de datos. Ya que no la tenemos programada bien, lo que nos queda es tratar de ocultar los errores que se producirán al ejecutar comandos no esperados en el sistema. En otras palabras, cuando hacemos un ataque SQL lo que hacemos es ejecutar ciertos comandos no esperados por la base de datos(-1,',etc...), para estar un poco más seguros, podemos hacer que cuando se ejecute algún comando de ese tipo, no salga el fatal error. Pero aun así, seguiríamos siendo vulnerables a un SQLI Blind, es decir, un ataque SQL a ciegas.

Para estar seguros a una SQLI, deberíamos haber programado bien la base de datos.
Para saber un poco más sobre esto, leete las ultimas páginas del cuaderno SQLI nuevo, te aparece una forma de estar seguro ;)

Un saludo y espero que te haya servido! ;)
Título: Re:evitar sql inyection
Publicado por: freeze burn en Abril 19, 2014, 06:45:47 pm
ok pero no se puede evitar desde el php por ejemplo poner que si password='sql inyection' lance un error y si no se coloca else y conecte con la base de datos no se si me doy a entender
Título: Re:evitar sql inyection
Publicado por: quuim en Abril 19, 2014, 07:29:20 pm
No tiene (casi)  nada que ver con la BD, con lo que se debe programar bien es el lenguaje con el que esté programada la aplicación web ya sea php, python, ruby... En php hay algunas funciones que ayudan a evitar estas inyecciones, solo buscalas, o hasta puedes programarte la tuya propia que es algo relativamente sencillo de hacer.
Salu2