Cómo asegurar las SQL

meru-kun · #1 (**permalink**) 27/02/2006, 13:59

Buenas tardes.
Hasta ahora mis páginas habian contado con poca interacción (de cara a que el usuario introduzca contenidos), y la que había se limitaba a areas concretas en las que había poco que modificar y/o falsificar.
Sin embargo ahora quiero ampliar esto, y utilizando AJAX, permitir a los usuarios interactuar más. Ellos, pulsando botones y demás, tendrán capacidad de añadir, editar y borrar (sin que necesariamente sepan que está pasando esto) una serie de campos.

Me gustaría saber los métodos que utilizais vosotros para "asegurar" que las Query's que llegan a los ficheros .asp son las "originales", y evitar manipulaciones malintencionadas por parte de algún usuario avispado (que puedan concurrir en crear muchos registros, o demás cosas molestas). De momento tengo claro, mas o menos, como garantizar que para poder ejecutar esto tengas que estar registrado; pero me gustaría garantizar que aún siendo usuario registrado no puedas destrozar mucho.

Agradezco vuestras sugerencias.

Saludos.

tammander · #2 (**permalink**) 27/02/2006, 15:08

Busca por el foro "SQL injection".

Un saludo

meru-kun · #3 (**permalink**) 27/02/2006, 16:07

Cita:

Iniciado por tammander

Busca por el foro "SQL injection".
Un saludo

No, no me refiero a que me hagan una SQL Injection. Me refiero a que ejecuten la pagina modificando por ej. los parámetros de entrada desde un archivo .htm por ej. y se ejecute sin problemas la query en el servidor (con el consiguiente daño).
Simplemente busco formas de validar que los datos sean correctos y realmente provengan del código generado por las paginas y no de uno manipulado.

AlZuwaga · #4 (**permalink**) 27/02/2006, 16:15

revisá que el dominio de request.servervariables("http_referer") no sea ni nulo ni distinto al dominio donde correrán tus scripts.
tal vez no sea todo lo necesario, pero ayuda algo

u_goldman · #5 (**permalink**) 28/02/2006, 00:17

Aparte de lo que comenta AZ, el comentario de tammander también es del todo correcto, si escribes tu código de modo tal que no se pueda ingresar inyección de SQL --Estoy cansado de los anglicismos je je je ;) -- qieda bastante redondeada la seguridad de tu aplicación, por un lado no se puede llamar a páginas de proceso desde otro lugar que no sea el dominio mismo, por otro lado no se pueden alterar los parámetros para inyectar sentencias SQL.

Saludos!

tammander · #6 (**permalink**) 28/02/2006, 10:59

Cita:

Iniciado por u_goldman

...si escribes tu código de modo tal que no se pueda ingresar inyección de SQL --Estoy cansado de los anglicismos je je je ;) -- ...

Saludos!

Ciertamente

Cita:

Iniciado por u_goldman

...qieda bastante redondeada la seguridad de tu aplicación, por un lado no se puede llamar a páginas de proceso desde otro lugar que no sea el dominio mismo, por otro lado no se pueden alterar los parámetros para inyectar sentencias SQL.

Saludos!

Solo te queda el control de usuarios, y bordao de seguridad. Mas que muchos Sitios Webs Respetables

ADemás, que mas te da de donde venga la solicitud si esta debidamente parametrizada y "homologada" por ti. Tu respondes con un script de resultados. Puedes vender contenidos

Un saludo

meru-kun · #7 (**permalink**) 01/03/2006, 16:58

Muchas gracias a todos por los sabios consejos. Me aseguraré de verificar bien todos esos parametros, y espero que no tenga problemas luego.

Saludos.