Seguridad con el String SQL

un_tio · #91 (**permalink**) 25/07/2005, 18:30

Cita:

Iniciado por mamon

una funcion para poder solucionar esos problemas...

function limpiar_texto(str)
str = replace(str,"'","''")
str = replace(str,"--","__")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"-shutdown","")
str = replace(str,"shutdown","")
str = replace(str,"inner","")
str = replace(str,"join","")
str = replace(str,"select","")
str = replace(str,"insert","")
str = replace(str,"update","")
str = replace(str,"delete","")
str = replace(str,"drop","")
str = replace(str,"having ","")
str = replace(str,"group by","")
str = replace(str,"union select sum","")
str = replace(str,"union select min","")
limpiar_texto = str
end function

Una pregunta: ¿recomiendas poner todas esas comprobaciones o solamente las has puesto a voleo como ejemplo? ¿En caso de que las recomiendes, esa y ninguna más, o aún añadirías otras que no has puesto? Es decir: ¿Están todas las que son? ¿Y son todas las que están?

Me parece que está bien poner todas esas, sólo dudo de si poner la de "union select sum", que me parece demasiado específica, y no sé por qué no has puesto reemplazar la palabra "union" por un lado y "sum" por otra (tal vez porque te parecieran demasiado comunes, ¿pero es que sólo está la combinación union select sum y la otra que las utilicen?).

Neuron_376 · #92 (**permalink**) 25/07/2005, 21:08

Para Saruman... si, a eso me referia, vi que lo pusiste sobre DBO, pero revisa asegurate que los permisos aplican directamente sobre las tablas que estas mandando llamar en la consulta... es mejor asegurar, suele pasar.

Suerte!!

mamon · #93 (**permalink**) 26/07/2005, 00:10

Para un_tio... bueno en realidad esa función la cree de varias que vi contra el SQL Injection.. no sé si están todas.. y claro, tienes razón.. no hay roches en solo poner union... pero date cuenta una cosa.. lo estamos viendo del lado español... pero normal en un comentario que un usuario escriba en inglés, puede escribir union.. o algo asi... pero también habrían problemas con el delete, update.. mmmmm... en eso no se ha pensado.. me has hecho pensar.. jejejee

Saruman · #94 (**permalink**) 26/07/2005, 12:01

Cita:

Iniciado por Neuron_376

Para Saruman... si, a eso me referia, vi que lo pusiste sobre DBO, pero revisa asegurate que los permisos aplican directamente sobre las tablas que estas mandando llamar en la consulta... es mejor asegurar, suele pasar.

Suerte!!

si. la consulta que hago es en esa tabla.. la de usuario....
hay algo mas??
gracias por responder

Neuron_376 · #95 (**permalink**) 26/07/2005, 12:11

Crei haber editado el mensaje anterior, te puse como editado, que tienes razon, no me fije que lo habias hecho ya directo en la tabla, entonces todo deberia estar bien, no se me ocurre otra cosa

Saruman · #96 (**permalink**) 26/07/2005, 14:21

Cita:

Iniciado por Neuron_376

Crei haber editado el mensaje anterior, te puse como editado, que tienes razon, no me fije que lo habias hecho ya directo en la tabla, entonces todo deberia estar bien, no se me ocurre otra cosa

alguien mas q me pueda ayudar?? UG... nada todavia?

u_goldman · #97 (**permalink**) 26/07/2005, 14:42

Pues no, solamente que sea por alguna relacion de confianza entre tus servidores si es que la DB esta en otro servidor, te digo que ayer lo probe y funciono sin problemas