04/07/2009, 03:36
| |||
| |||
| SQL-Injection en PHP Hola, quería saber, si es posible y de qué modo el SQL-Injection sobre PHP. Sobre ASP sí sé que es muy fácil, pero sobre PHP me habían dicho que no (que por ejemplo automáticamente las comillas ' te las eliminaba, o las trataba de un modo especial), pero leyendo en internet veo que sí se puede. ¿Alguien me informa sobre el SQL-Injection de PHP? ¿Algo como ' OR 1=1-- funciona? ¿Es PHP más seguro que ASP? ¿Y respecto a ASP.NET? |
|
04/07/2009, 04:51
| ||||
| ||||
 Respuesta: SQL-Injection en PHP Cita: hola eso suele suseder en formularios con usuario y contraseña, dodne te inyectan en el campo usuario Admin (o tambien ' or 1=1) y en contraseña lo mismo
Iniciado por un_tio  Hola, quería saber, si es posible y de qué modo el SQL-Injection sobre PHP. Sobre ASP sí sé que es muy fácil, pero sobre PHP me habían dicho que no (que por ejemplo automáticamente las comillas ' te las eliminaba, o las trataba de un modo especial), pero leyendo en internet veo que sí se puede. ¿Alguien me informa sobre el SQL-Injection de PHP? ¿Algo como ' OR 1=1-- funciona? ¿Es PHP más seguro que ASP? ¿Y respecto a ASP.NET? lo ideal es que uses una funcion para limpiar esos campos tambien por varuiables GET peude suseder lo mismo salu2
__________________ LA MUERTE ESTÁ TAN SEGURA DE VENCER QUE NOS DA TODA UNA VIDA DE VENTAJA |
|
04/07/2009, 05:04
| ||||
| ||||
| Respuesta: SQL-Injection en PHP Cita: si configuras magic_quotes = 1 en el php.ini no deberia habeproblemas, pero siemrpe por las dudas tendrias que limpriar las variables que te peudan inyectar.
Iniciado por un_tio Ya sé que es para eso, pero pregunto si es tan fácil en PHP, o quizás tienen por defecto funciones implementadas (nunca he usado PHP). Saludos
__________________ LA MUERTE ESTÁ TAN SEGURA DE VENCER QUE NOS DA TODA UNA VIDA DE VENTAJA |
|
04/07/2009, 05:09
| |||
| |||
| Respuesta: SQL-Injection en PHP Cita: Ok. ¿Y eso qué es, algo como el archivo webconfig de .NET donde configuras parámetros generales de la aplicación?
Iniciado por aldo1982 si configuras magic_quotes = 1 en el php.ini no deberia habeproblemas, pero siemrpe por las dudas tendrias que limpriar las variables que te peudan inyectar. Por cierto, pongo aquí una serie de enlaces relacionados con el tema de sql-injection: http://www.dragonjar.org/sqlmap-herr...cion-sql.xhtml http://www.buayacorp.com/archivos/ej...ction-con-php/ http://unixwiz.net/techtips/sql-injection.html http://www.eslomas.com/index.php/arc...-con-ejemplos/ http://us2.php.net/manual/en/securit...-injection.php http://www.ajuca.com/modules.php?nam...article&sid=15 |
|
04/07/2009, 08:49
| ||||
| ||||
| Respuesta: SQL-Injection en PHP calro..se configura en el php.ini salu2
__________________ LA MUERTE ESTÁ TAN SEGURA DE VENCER QUE NOS DA TODA UNA VIDA DE VENTAJA |
|
04/07/2009, 11:44
| |||
| |||
| Respuesta: SQL-Injection en PHP Cita: Pues me he estado informando sobre las magic_quotes, y lo mínimo que se puede decir es que son polémicas. ¡Incluso las han eliminado de PHP 6!
Iniciado por aldo1982 calro..se configura en el php.ini salu2 Se pueden citar como fallos o "desrecomendaciones": que el carácter de escape puede o podría cambiar en algún SGBD, que puede aplicarse aun cuando no sea necesario (provocando información errónea), o que dificulta la portabilidad de una aplicación. aquí se puede encontrar más información sobre el tema. ¿Existe en PHP el método de usar parámetros, como en ASP.NET? |
