25/01/2007, 06:27
| |||
| |||
| seguridad - restricción datos entrada Buenos días: Restringiendo la entrada de datos en los campos de entrada de un sitio al abecedario (a.....ñ.....z), números (0.....9), vocales acentuadas (á,é,í,ó,ú) y los caracteres - (guión alto) _ (guión bajo) @(arroba) .(punto) Podemos considerar que no es posible de esta forma ningun ataque de este tipo ? salu2. |
|
25/01/2007, 08:31
| ||||
| ||||
| Re: seguridad - restricción datos entrada para evitar sql o html injection?? tienes q evitar la insercion de palabras reservadas para ASP este link las contiene http://www.forosdelweb.com/showthrea...hreadid=121264 suerte
__________________ JuanRa Pérez San Salvador, El Salvador |
|
25/01/2007, 12:14
| |||
| |||
| Re: seguridad - restricción datos entrada buenas tardes: para que la comprobación sea efectiva, debe realizarse en local o en servidor ? gracias. saludos P.D. Al hilo de mi pregunta, y como me van a ir surgiendo dudas, una tras otra, hay algun post donde se enumeren y expliquen las recomendaciones para evitar que nos inyecten código, ya sea HTML o SQL. Para evitarlo con código HTML bastaría con limitar la entrada de los campos a letras y numeros. No creo positivo limitar la entrada de palabras acentuadas, o guiones (- y _) o la arroba (@) el punto (.) y la coma (,), afectan por tanto estos ultimos a la seguridad? |
|
25/01/2007, 12:20
| ||||
| ||||
| Re: seguridad - restricción datos entrada Bueno, para evitar inyección de SQL, lo que te recomendaría es utilizar consultas parametrizadas: http://www.aspfaq.com/params.htm Si no quieres que tus usuarios ingresen HTML, puedes valerte de alguna función que mediante una expresión regular "limpie" el string que recibe, suprimiendo los tags. http://www.4guysfromrolla.com/webtech/042501-1.shtml
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
26/01/2007, 12:21
| |||
| |||
| Re: seguridad - restricción datos entrada buenas tardes: entiendo que pueden resultar obvias algunas de las preguntas o reflexiones que voy a ir planteando, sin embargo, necesito continuar: hasta ahora me ha quedado claro, y si no pues agradezco vuestros comentarios, que ademas de limitar las entradas de los campos al abecedario, numeros, guiones (- y _), arroba (@), punto (.) y coma (,), debo impedir que introduzcan palabras reservadas para ASP. la siguiente cuestión sería: ¿donde realizo la validación?: 1. Si la realizo en local, podrían sustituir el fichero.js con las validaciones, y ya habrian saltado el control, sin embargo realizandolas en el server puedo comprobar que el dominio que sirve la pagina de validación es el mio. 2. Si las realizo en el server, las palabras reservadas subirian. ¿Cómo debería resolver esta cuestión? salu2. gracias. |
|
26/01/2007, 12:45
| ||||
| ||||
| Re: seguridad - restricción datos entrada Por qué vas a impedir que envíen palabras reservadas de ASP? Todo lo que tienes que hacer es limitar el uso de tags...
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
26/01/2007, 13:36
| |||
| |||
| Re: seguridad - restricción datos entrada bien, JuanRAPerez es lo que propone. simplemente, con reemplazar: cadena_a_introducir = cadena.replace(" ' ";" '' "); evitamos cualquier inyección de código SQL? y para la inyección de HTML, donde hacer la validación, local o server, con los problemas que he planteado ? salu2. gracias. |
|
26/01/2007, 14:58
| ||||
| ||||
| Re: seguridad - restricción datos entrada aunque también podrías validarla en el cliente (cosa que nunca está de más), absolutamente toda validación crítica debe ser realizada en el servidor.
__________________ ...___... |
