que es lo que puede hacer un ataque Mysql Injection

EroChvc · #1 (**permalink**) 12/06/2009, 14:31

ultimamente he escuchado mucho sobre los ataques a baces de datos mysql por Injection, pero me pregunto... que es lo que hacen en si esos ataques?

borran la informacion?

Modifican la informacion?

o solo simplemente muestran informacion de la base de datos

spider_boy · #2 (**permalink**) 12/06/2009, 14:52

Un campo mal saneado puede dar lugar a un sql injection. Esto vendría siendo una extensión a la consulta que haces, logrando: eliminar, insertar, modificar información. También pueden lanzar una consulta cualquiera y el script mostrará algún error en particular imprimiendo información que te podría perjudicar.

Si buscas en google encontrarás como protegerte, y como funcionan estos ataques.

EroChvc · #3 (**permalink**) 12/06/2009, 14:54

y cual podria ser un ejemplo de un campo mal sandeado???? es que soy novato en esto de los ataques y acabo de terminar una web con base de datos.

McBlink · #4 (**permalink**) 12/06/2009, 14:57

aca te lo deja bien explicado y con ejemplos..

Link

Saludos.

spider_boy · #5 (**permalink**) 12/06/2009, 15:05

Quizá no venga mucho al caso, pero es más que nada para que tengas claro el concepto. No existe el "mysql injection", lo que tú consultas es "sql injection". MySql es solo un motor de base de datos, pero la base es siempre el lenguaje sql.

Nos vemos

McBlink · #6 (**permalink**) 12/06/2009, 15:10

Cita:

Iniciado por spider_boy

Quizá no venga mucho al caso, pero es más que nada para que tengas claro el concepto. No existe el "mysql injection", lo que tú consultas es "sql injection". MySql es solo un motor de base de datos, pero la base es siempre el lenguaje sql.

Nos vemos

jaja es verdad, pero la idea estaba, se entendía

cesarpunk · #7 (**permalink**) 12/06/2009, 15:32

en pocas palabras has tus mysql_querys de una forma mas segura "escondiendo" las variables que uses dentro de ellas, como IDs u otros campos

doylelives · #8 (**permalink**) 12/06/2009, 15:39

Duda: pero si mysql_query solo ejecuta un solo query a la base por más que se le agrege otro query al parametro, ese 2º query no lo ejecuta, o si?

acoevil · #9 (**permalink**) 12/06/2009, 15:47

Si lees en el manual de www.php.net encontraras funciones como esta

http://us.php.net/manual/es/function...ape-string.php
o esta

http://www.php.net/addslashes

Ademas de encriptar las contraseñas tanto la tuya como la de tus usuarios con funciones como md5 o sha1, las encontraras en el mismo manual

EroChvc · #10 (**permalink**) 12/06/2009, 16:09

HUEMADRE! estoy leyendo es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL y es como ver una de esas peliculas de DAMIAN,

por lo visto tengo que modificar muchas cosas porque en estos momentos estoy mas bulnerable que un Novato

acoevil · #11 (**permalink**) 12/06/2009, 16:23

xD, si siempre nos pasa eso cuando estamos empezando en este cuento, por eso siempre es bueno informarce del tema antes de empezar a construir algo.

Suerte!!

spider_boy · #12 (**permalink**) 12/06/2009, 16:37

Cita:

Iniciado por doylelives

Duda: pero si mysql_query solo ejecuta un solo query a la base por más que se le agrege otro query al parametro, ese 2º query no lo ejecuta, o si?

No es que se haga una 2da query aparte. Cuándo un campo o un dato pasado a la consulta está mal saneado, en vez de ingresarse el dato pedido, se puede extender la consulta inicial logrando querys malignas en una sola.

Si buscas en algunos enlaces que hemos escrito o en google mismo verás como se puede extender una simple consulta en otras perjudiciales.