Foros del Web » Programando para Internet » PHP »

evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

Estas en el tema de evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema: en el foro de PHP en Foros del Web. Hola amigos trato el tema de injeccion SQL este codigo lo guarde investigando un poco del hackeo pero hasta ahora no me a funcionado queria ...
  #1 (permalink)  
Antiguo 28/01/2011, 17:27
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 8 años, 10 meses
Puntos: 4
Pregunta evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

Hola amigos trato el tema de injeccion SQL este codigo lo guarde investigando un poco del hackeo pero hasta ahora no me a funcionado queria saber si alguien a logrado resolverlo ya que lo intente y la consulta no me devolvia nada . Muchas gracias.
url del tema :

http://php.net/manual/es/security.database.sql-injection.php

Código PHP:


##url del tema http://php.net/manual/es/security.database.sql-injection.php


//seguridad en pagina evitar injecciones de hackers  (injection SQL)

##metodo 1
settype($offset'integer');
$query "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";

##metodo 2

// Fíjese en %d en el formato de cadena, utilizar %s podría no tener un resultado significativo
$query sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",  $offset); 
  #2 (permalink)  
Antiguo 28/01/2011, 18:46
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 9.973
Antigüedad: 11 años, 3 meses
Puntos: 2188
Respuesta: evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

Lo unico que hacen esas lineas es suponer que la variable $offset fue obtenida desde una entrada del usuario (GET o POST) y asegurarse de que el valor sera un numero entero para armar la consulta.

Como es que lo has probado y en que te basas para decir que no te ha funcionado?

Por otra parte, ese ejemplo sirve solo para mostrar que cualquier dato debe ser verificado antes de incluirlo en una consulta y, cuando se trate de textos (char, varchar, text, etc.) tambien deben ser escapados con mysql_real_escape_string()

Todo lo que tienes que hacer para entender un poco mas de esto es ver buscar en FDW alguno de los muchos temas que hablan de inyecciones SQL y XSS.
__________________
- León, Guanajuato
- GV-Foto
  #3 (permalink)  
Antiguo 28/01/2011, 20:34
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 8 años, 10 meses
Puntos: 4
Respuesta: evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

vale investigando encontre esto muy interesanto pero por lo visto dice que da problemas en el servidor que se podria hacer =/.

Cita:

Revisando un servidor me encontré con la siguientes reglas para el módulo ModRewrite de apache, que nos ayudan a filtrar las URLs potencialmente maliciosas. Este codigo nos va a ayudar a proteger el servidor de las aplicaciones que tengan fallas de seguridad.

RewriteEngine On
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
######### End - Rewrite rules to block out some common exploits
Nos protegerá de ataques XSS y SQL Injection. Este script podría afectar el funcionamiento de algunas aplicaciones.

  #4 (permalink)  
Antiguo 29/01/2011, 01:51
Avatar de JoseGMariani  
Fecha de Ingreso: diciembre-2008
Ubicación: Edo Lara
Mensajes: 251
Antigüedad: 11 años
Puntos: 8
Respuesta: evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

Una manera no profesional de hacerlo seria , con este codigo que uso. =) ademas de poner lo de mysql_real_escape_string() lo puedes ver mas claro en este tutorial de

php-academy
un equipo muy bueno, y buenos y practicos tutoriales..

y el codigo que utilizo es este:
Bueno exactamente ahora no lo tengo, por que esta en mi server, y el ftp esta configurado en la otra pc.. pero .. mandame un mensaje privado cn tu correo y yo te agrego, yo tambien estoy aprendiendo php, me gustaria compartr conocimientos.. =)

espero haberte servido de ayuda.
__________________
"Nunca seas arrogante con los humildes, ni humilde con los arrogantes." Paulo Coelho..
  #5 (permalink)  
Antiguo 29/01/2011, 02:59
Avatar de JoseGMariani  
Fecha de Ingreso: diciembre-2008
Ubicación: Edo Lara
Mensajes: 251
Antigüedad: 11 años
Puntos: 8
Respuesta: evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

lO COLOQUE DOS VECES SIN DARME CUENTA PERDONEN LOS ADMIN..



Una manera no profesional de hacerlo seria , con este codigo que uso. =) ademas de poner lo de mysql_real_escape_string() lo puedes ver mas claro en este tutorial de

php-academy
un equipo muy bueno, y buenos y practicos tutoriales..

y el codigo que utilizo es este:
Bueno exactamente ahora no lo tengo, por que esta en mi server, y el ftp esta configurado en la otra pc.. pero .. mandame un mensaje privado cn tu correo y yo te agrego, yo tambien estoy aprendiendo php, me gustaria compartr conocimientos.. =)

espero haberte servido de ayuda.
__________________
"Nunca seas arrogante con los humildes, ni humilde con los arrogantes." Paulo Coelho..

Última edición por JoseGMariani; 29/01/2011 a las 03:00 Razón: LO COLOQUE DOS VECES SIN DARME CUENTA,, :S
  #6 (permalink)  
Antiguo 29/01/2011, 13:57
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 8 años, 10 meses
Puntos: 4
Respuesta: evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

a mi me paso tambien una vez , con lo que me dices para 204 mensajes que tienes bueno entre cuentas baneadas llebare unos 800 mensajes o cosa asi pero bueno hablaremos mas amenudo y compartiremos ideas por msn en un mientras me agregas por aqui seguiremos este tema mas adelante vere que mas investigo , lo que coloque arriba es muy bueno tambien por htaccess chao amigo.

Cita:

La verdad que me a dao hasta la risa con esto jajaj 'OR''='

Última edición por yooom; 29/01/2011 a las 14:09

Etiquetas: ejemplo, solucion, sql, tema, hacking
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 11:21.