Ver Mensaje Individual
  #5 (permalink)  
Antiguo 31/08/2009, 06:55
mpeg
 
Fecha de Ingreso: abril-2009
Mensajes: 371
Antigüedad: 14 años, 11 meses
Puntos: 22
Respuesta: Sobre Apache y Sql Inyection

Cita:
Iniciado por buji Ver Mensaje
mpeg, pero si en la configuración del sitio php utilizo un usuario de mysql que no tenga permisos de escritura, digo, un usuario que solo pueda leer datos me puedo evitar algún problema con los datos que son representados en el sitio?
no. aun en el supuesto de que tu usuario solamente tuviera permisos de lectura para ciertas bases de datos, quieres que cualquiera pueda leer cualquier cosa de la bbdd? passwords, sesiones, info privada...

Cita:
Iniciado por jeeba Ver Mensaje
Ahora yo tambien te sugeriria validad todos los datos que entran a tu pagina web.

O lo haces manualmente, ademas de comprobar que no ingresen cadenas extrañas como > o ', sugiero que busques cadenas de texto como SELECT, o UPDATE.Ademas es muy importante validar el tamaño de lo que entra, si te envian cadenas bien grandes pueden volver loco al servidor haciendole lo que se conoce como buffer overflow.
validar los datos que entran es totalmente innecesario si se usan consultas parametrizadas (preparadas)
a los datos se les comprueba el tipo y se les escapa automaticamente con estas consultas

y en general tampoco hace falta validar el tamaño, eso es competencia del servidor, tanto de aplicacion (php) como web (apache)