Hola gente. ¿Cuanto tiempo hacía, eh?
a lo que iba... os pongo un mensaje privado que me ha llegado con su correspondiente respuesta. Espero que a alguien le sirva.
Cita: Cita:
Iniciado por horizonte HOLA:
Estoy muy interesado en seguridad, especialmente en SQL para paginas web.
Estuve buscando el manual que haces referencia en el post (
http://www.forosdelweb.com/showthrea...=SQL+Injection) pero no encontre nada.
Por favor si sabes algun enlace donde lo pueda bajar te agradesco.
Saludos y Gracias.
Te lo respondo simplemente sin necesidad de manuales: la base del contraataque al SQL Injection es prevenir la entrada de la comilla simple('), ya sea eliminándola del request, cambiándola por otro carácter, o escapándola con \. La rutina de seguridad se puede refinar controlando con replace() que no inserten sentencias SQL como DROP,ALTER TABLE, ETC...aunque no es realmente necesario...o si?
Si estás currando con SQL Server, y gracias a las dudosas facilidades de control de sistema desde sentencias propias del motor de BD (Bendito,digooo mekagüen toda la sección de producción de Microsoft) estaría bien que previnieras la inyección de las sentencias que acceden directamente al SO. (aunque para esto hay una fácil solución, darle al usuario de SQL Server permisos únicamente para la base de datos que se está procesando, nunca usar al usuario SA o usuarios con privilegios administrativos)
Espero que te sirva. Si tienes alguna duda más, manda un mail a
[email protected]
Un saludo y encantado de ayudar.
Un saludo a todos los masters que andais por este pedazo foro (casi se me había olvidado lo bien que me siento cuando soy más o menos de utilidad, jajaja :borracho pero feliz:)