30/08/2009, 14:14
| |||
| |||
| Sobre Apache y Sql Inyection Hola Foro. Tengo un sitio web montado sobre Apache 2, Php 5 y MySQL. El tema es que el sitio se maneja con urls como esta: misitio.com/?sec=noticia&id=23 misitio.com/index.php?sec=galeriasfotos Ahora, esta situación puede permitir ataques de sql inyection? Muchas Gracias. Salu2. |
|
30/08/2009, 15:17
| |||
| |||
| Respuesta: Sobre Apache y Sql Inyection si, si no haces bien las consultas a la base de datos el servidor web no tiene nada que ver, lo que importa es que cuando haces una consulta sql y metes datos que vienen de fuera (en realidad es mejor hacerlo con todas las consultas, por precaucion) uses consultas parametrizadas en php puedes hacerlo con PDO o mysqli entre otras librerias, usando consultas preparadas lo que nunca, nunca debes hacer son consultas del tipo mysql_query("SELECT * WHERE id=$_GET['id']") |
|
31/08/2009, 06:12
| |||
| |||
| Respuesta: Sobre Apache y Sql Inyection Cita: mpeg, pero si en la configuración del sitio php utilizo un usuario de mysql que no tenga permisos de escritura, digo, un usuario que solo pueda leer datos me puedo evitar algún problema con los datos que son representados en el sitio?
Iniciado por mpeg  si, si no haces bien las consultas a la base de datos el servidor web no tiene nada que ver, lo que importa es que cuando haces una consulta sql y metes datos que vienen de fuera (en realidad es mejor hacerlo con todas las consultas, por precaucion) uses consultas parametrizadas en php puedes hacerlo con PDO o mysqli entre otras librerias, usando consultas preparadas lo que nunca, nunca debes hacer son consultas del tipo mysql_query("SELECT * WHERE id=$_GET['id']") muchas gracias. saludos. |
|
31/08/2009, 06:26
| |||
| |||
| Respuesta: Sobre Apache y Sql Inyection Podrias evitarte problemas con ese tipo de usuario, pero siempre esta el riezgo de que puedan ver la estructura de tu base de datos, y posteriormente usar ese conocimiento para hacer algo peor Como dice mpeg, lo mejor es usar prepared Statements en tu base de datos. Ahora yo tambien te sugeriria validad todos los datos que entran a tu pagina web. O lo haces manualmente, ademas de comprobar que no ingresen cadenas extrañas como > o ', sugiero que busques cadenas de texto como SELECT, o UPDATE.Ademas es muy importante validar el tamaño de lo que entra, si te envian cadenas bien grandes pueden volver loco al servidor haciendole lo que se conoce como buffer overflow. O puedes hacerlo tambien automaticamente con ayuda del paquete PEAR, google PEAR validation and filters. |
|
31/08/2009, 06:55
| |||
| |||
| Respuesta: Sobre Apache y Sql Inyection Cita: no. aun en el supuesto de que tu usuario solamente tuviera permisos de lectura para ciertas bases de datos, quieres que cualquiera pueda leer cualquier cosa de la bbdd? passwords, sesiones, info privada...
Iniciado por buji mpeg, pero si en la configuración del sitio php utilizo un usuario de mysql que no tenga permisos de escritura, digo, un usuario que solo pueda leer datos me puedo evitar algún problema con los datos que son representados en el sitio? Cita: validar los datos que entran es totalmente innecesario si se usan consultas parametrizadas (preparadas)
Iniciado por jeeba Ahora yo tambien te sugeriria validad todos los datos que entran a tu pagina web. O lo haces manualmente, ademas de comprobar que no ingresen cadenas extrañas como > o ', sugiero que busques cadenas de texto como SELECT, o UPDATE.Ademas es muy importante validar el tamaño de lo que entra, si te envian cadenas bien grandes pueden volver loco al servidor haciendole lo que se conoce como buffer overflow. a los datos se les comprueba el tipo y se les escapa automaticamente con estas consultas y en general tampoco hace falta validar el tamaño, eso es competencia del servidor, tanto de aplicacion (php) como web (apache) |
