Seguridad de una Pagina Web

WILLIAMGG · #1 (**permalink**) 22/08/2006, 07:08

Wenas, hace una semana una pregunta sobre la seguridad que debe tener una pagina, y coloque la direccion de mi pagina para k sea evaluada en este foro, lo que encontre que fue facilmente vulnerada por el metodo de sql injection, ahora que he revisado sobre este tema que por cierto era desconocido para mi, pues bien vulevo a preguntar si existe otras formas de como proteger mi pagina.
Lo qu hasta ahora he implementado es lo sgte:

Bien mi conexion de BD esta en una pagina asp q lo incluyo en las pagina que la necesiten
Valido los datos que se ingresan en usuario y pasword para evitar sql injection.
La consulta de logueo es mediante procedimientos almacenados

Ahora la pregunta es, si falta algo mas, algun consejo????, otro mas, ¿es necesario paramentrizar la consulta??
Gracias

WILLIAMGG · #2 (**permalink**) 22/08/2006, 11:48

Nda no me explicado bien???
Espero alguien me pueda apoyar

u_goldman · #3 (**permalink**) 22/08/2006, 11:54

WILLIAMGG, si solo usas los procedimientos almacenados sin parametrizar la consulta y no validas server side, tu pagina seguira siendo vulnerable.

En realidad yo no te sugiero que uses SP para el logueo, (es un procedimiento muy comun), el usar SP's desde mi punto de vista debe tener alguna razon en especial, y deberia ser solo si realmente eficienta tu proceso, o llevas las reglas de tu aplicacion del lado de la base de datos, de otra manera, solo estas creando otra capa que mantener.

Yo te recomiendo para el caso de SQL Injection, parametrizar las consultas, o utilizar las funciones que estan en la biblioteca de funciones para evitar el SQL Injection.

Saludos

diegopedro · #4 (**permalink**) 22/08/2006, 13:05

Hola

Primero trata de tener 3 input de entrada :login, password y algun codigo del usuario conocido por el(Pasaporte, cedula de identidad etc).

Segundo cada input valida en texto ingresado No aceptes las palabras INSERT,UPDATE,LIKE,ETC. Tambien caracteres como >,<,|| etc

Tercero Un procedure de almacenado que reciba los tres parametros y solo devuelva un true o false.

espero que te sirva

Atte

WILLIAMGG · #5 (**permalink**) 22/08/2006, 13:57

Cita:

Iniciado por u_goldman

WILLIAMGG, si solo usas los procedimientos almacenados sin parametrizar la consulta y no validas server side, tu pagina seguira siendo vulnerable.

En realidad yo no te sugiero que uses SP para el logueo, (es un procedimiento muy comun), el usar SP's desde mi punto de vista debe tener alguna razon en especial, y deberia ser solo si realmente eficienta tu proceso, o llevas las reglas de tu aplicacion del lado de la base de datos, de otra manera, solo estas creando otra capa que mantener.

Yo te recomiendo para el caso de SQL Injection, parametrizar las consultas, o utilizar las funciones que estan en la biblioteca de funciones para evitar el SQL Injection.

Saludos

Gracias U_G, pues efectivamente he implementado una funcion para que valide y no acepte caracteres como comillas, --,drop,insert,etc funciones k encontre en este foro.
Gracias por ello