evitar hacker injeccion SQL (EJemplo) nesestio solucion. muestro tema:

yooom · #1 (**permalink**) 28/01/2011, 17:27

Hola amigos trato el tema de injeccion SQL este codigo lo guarde investigando un poco del hackeo pero hasta ahora no me a funcionado queria saber si alguien a logrado resolverlo ya que lo intente y la consulta no me devolvia nada . Muchas gracias.

url del tema :

http://php.net/manual/es/security.database.sql-injection.php

Código PHP:

   
 
##url del tema http://php.net/manual/es/security.database.sql-injection.php 
 
 
//seguridad en pagina evitar injecciones de hackers  (injection SQL) 
 
##metodo 1 
settype($offset, 'integer'); 
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;"; 
 
##metodo 2 
 
// Fíjese en %d en el formato de cadena, utilizar %s podría no tener un resultado significativo 
$query = sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",  $offset);

Triby · #2 (**permalink**) 28/01/2011, 18:46

Lo unico que hacen esas lineas es suponer que la variable $offset fue obtenida desde una entrada del usuario (GET o POST) y asegurarse de que el valor sera un numero entero para armar la consulta.

Como es que lo has probado y en que te basas para decir que no te ha funcionado?

Por otra parte, ese ejemplo sirve solo para mostrar que cualquier dato debe ser verificado antes de incluirlo en una consulta y, cuando se trate de textos (char, varchar, text, etc.) tambien deben ser escapados con mysql_real_escape_string()

Todo lo que tienes que hacer para entender un poco mas de esto es ver buscar en FDW alguno de los muchos temas que hablan de inyecciones SQL y XSS.

yooom · #3 (**permalink**) 28/01/2011, 20:34

vale investigando encontre esto muy interesanto pero por lo visto dice que da problemas en el servidor que se podria hacer =/.

Cita:

Revisando un servidor me encontré con la siguientes reglas para el módulo ModRewrite de apache, que nos ayudan a filtrar las URLs potencialmente maliciosas. Este codigo nos va a ayudar a proteger el servidor de las aplicaciones que tengan fallas de seguridad.

RewriteEngine On
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*$.*$ [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
######### End - Rewrite rules to block out some common exploits
Nos protegerá de ataques XSS y SQL Injection. Este script podría afectar el funcionamiento de algunas aplicaciones.

JoseGMariani · #4 (**permalink**) 29/01/2011, 01:51

Una manera no profesional de hacerlo seria , con este codigo que uso. =) ademas de poner lo de mysql_real_escape_string() lo puedes ver mas claro en este tutorial de

php-academy
un equipo muy bueno, y buenos y practicos tutoriales..

y el codigo que utilizo es este:
Bueno exactamente ahora no lo tengo, por que esta en mi server, y el ftp esta configurado en la otra pc.. pero .. mandame un mensaje privado cn tu correo y yo te agrego, yo tambien estoy aprendiendo php, me gustaria compartr conocimientos.. =)

espero haberte servido de ayuda.

JoseGMariani · #5 (**permalink**) 29/01/2011, 02:59

lO COLOQUE DOS VECES SIN DARME CUENTA PERDONEN LOS ADMIN..

Una manera no profesional de hacerlo seria , con este codigo que uso. =) ademas de poner lo de mysql_real_escape_string() lo puedes ver mas claro en este tutorial de

php-academy
un equipo muy bueno, y buenos y practicos tutoriales..

y el codigo que utilizo es este:
Bueno exactamente ahora no lo tengo, por que esta en mi server, y el ftp esta configurado en la otra pc.. pero .. mandame un mensaje privado cn tu correo y yo te agrego, yo tambien estoy aprendiendo php, me gustaria compartr conocimientos.. =)

espero haberte servido de ayuda.

yooom · #6 (**permalink**) 29/01/2011, 13:57

a mi me paso tambien una vez , con lo que me dices para 204 mensajes que tienes bueno entre cuentas baneadas llebare unos 800 mensajes o cosa asi pero bueno hablaremos mas amenudo y compartiremos ideas por msn en un mientras me agregas por aqui seguiremos este tema mas adelante vere que mas investigo , lo que coloque arriba es muy bueno tambien por htaccess chao amigo.

Cita:

La verdad que me a dao hasta la risa con esto jajaj 'OR''='