Hola gente, me hackearon el sitio, y según estuve averiguando podrían haber introducido una sentencia MySQL a traves del formulario de contacto.
Alguien sabe que medidas de seguridad puedo tomar como para evitar eso?
Muchas gracias!
Pancho.
15/08/2012, 07:54
| |||
| |||
 HACKEAR sitio a traves de formulario de contacto. Hola gente, me hackearon el sitio, y según estuve averiguando podrían haber introducido una sentencia MySQL a traves del formulario de contacto. Alguien sabe que medidas de seguridad puedo tomar como para evitar eso? Muchas gracias! Pancho. |
|
15/08/2012, 08:08
| ||||
| ||||
| Respuesta: HACKEAR sitio a traves de formulario de contacto. La mayor parte de las medidas de seguridad se deben tomar por fuera de la base, en la aplicación, como por ejemplo, validar que los campos no contengan cosas indebidas. Sin duda no has puesto validaciones en ese formulario para eso. ¿No? En el foro de tu lenguaje te pueden decir más sobre eso. A nivel de base, usa stored procedures para toda las operaciones. Como un SP sólo puede recibir parámetros simples y no sentencias, no puedes hacerles sql-injection. Todos los sistemas de alto nuvel de uso tienen implementada la lógica de base de datos a través de SP. Jamás se consulta una base desde la aplicación con sentencias. Incluso más: La conexión y el acceso a datos en la aplicación se manejan con una clase específica, y nunca desde los scripts de la capa de negocio.
__________________ ¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente... "El problema es la interfase silla-teclado." (Gillermo Luque) |
| Etiquetas: |
