SQL Injection

jhonwilliams · #1 (**permalink**) 09/06/2006, 10:53

Hola,

Estoy revisando un sitio y tengo que controlar el riesgo Cross Site Scripting, dentro de este tipo de ataques podemos tener las siguientes consecuencias:

Cita:

Este ataque es basicamente una violacion de privacidad, en la cual un atacante obtiene las credenciales legitimas de un usuario valido dentro del sistema, ya que el sistema devuelve las cookies como parte de sus parametros hacia el cliente.

Recomendaciones

Cita:

Controlar la entrada de caracteres por parte del usuario en todo el codigo Java, a nivel de servidor para que no se permitan caracteres especiales como "<>'' ' %;)(&+" entre otros, que si bien se encuentra controlado a nivel del cliente, puede ser sobrepasado a entrarlo a una url directamente.

Alquien me puede dar una breve explicacion de que es esto?.

Al sitio esta echo en asp, por eso dejo el mensaje en este foro.

jhonwilliams · #2 (**permalink**) 09/06/2006, 11:33

Hola

Como evitar el SQLInjection a una pagina en ASP

Muchas Gracias

u_goldman · #3 (**permalink**) 09/06/2006, 12:10

La manera mas sencilla aunque un tanto latosa, es usar el objeto command de ADO para todas tus consultas a la base de datos, de esta manera no necesitas preocuparte por hacer uso de funciones externas para limpiar los posibles caracteres de SQL.

Aún así en las FAQs hay una función precisamente para eliminar el SQL Injection, ahora si quiere ir por el lado del objeto Command(te lo recomiendo), lee este link:

http://www.aspfaq.com/params.htm

Saludos