SQL Injection

IngProd · #1 (**permalink**) 30/04/2007, 18:36

Hola a todos,
He estado revisando el sistema de autentifación que uso para saber si es vulnerable... y al intentar un acceso fradulento con slq injection, veo que si en un campo text pongo una comilla ' me la interpretará en la sentencia como \' ... así que gracias al propio servidor es imposible que se cuelen así no ¿?

eits · #2 (**permalink**) 30/04/2007, 18:47

si, lo mas seguro es que tenga habilitado el magic_quotes_gpc y coloca el simbolo de escape "\" evitando con esto un posible ataque por inyeccion de codigo sql.

saludos

juanitovoy · #3 (**permalink**) 09/05/2007, 13:33

Cita:

Iniciado por eits

si, lo mas seguro es que tenga habilitado el magic_quotes_gpc y coloca el simbolo de escape "\" evitando con esto un posible ataque por inyeccion de codigo sql.

saludos

Si el magic_quotes_gpc esta habilitado, hay alguna posibilidad de que puedan enviarnos inyeccion de sql ?

Yo encontre este script que revisa si tu servidor esta protegido contra inyecciones de sql

<?
if(!isset( $_GET [ "inyeccion" ])){
header ( "location: ?inyeccion='" );
} else {
echo 'Tu servidor ' ;
if( $_GET [ "inyeccion" ] != "'" )echo 'no ' ;
echo 'tiene problemas de inyección' ;
}
?>

Ejecutando el script me indica que mi servidor no tiene problemas de inyeccion, mi pregunta es estoy a salvo entonces ?

gracias
saludos

el cirujano · #4 (**permalink**) 09/05/2007, 13:53

revisa esto, creo que te ayudara este manual

naveda · #5 (**permalink**) 26/08/2007, 17:04

<?
if(!isset( $_GET [ "inyeccion" ])){
header ( "location: ?inyeccion='" );
} else {
echo 'Tu servidor ' ;
if( $_GET [ "inyeccion" ] != "'" )echo 'no ' ;
echo 'tiene problemas de inyección' ;
}
?>
Ese codigo no comprueba nada realmente sobre las magic quotes... Fijate que si pones, www.web.com/estecodigo.php?inyeccion=1 Dira que tienes problemas de inyeccion...