15/07/2008, 04:56
| ||||
| ||||
| Caracteres permitidos para evitar la inyección SQL Buenas. Tras varios ataques de inyección SQL hay que tomar las riendas. ¿Con el filtro siguiente puedo prevenirlos en lo que se refiere a formularios? Código PHP: Gracias y un saludo.
__________________ ¡¡NO A LA GUERRA!! Si ponemos a nuestros mensajes títulos adecuados, la gente se animará más a abrirlos y resultarán más útiles en las busquedas. ¡No a los ayuuudaaa, urgenteee y similares! |
|
15/07/2008, 10:17
| ||||
| ||||
| Respuesta: Caracteres permitidos para evitar la inyección SQL Que hay Bravenap Esta muy bien definido tu filtro contra el SQL inject, pero recuerda que también existe la comparación 1=1 lo cual le da en la torre a todo lo que intentemos ponerle como seguridad. Si quieres utilizar los caracteres que mencionas entonces deberías de considerar el utilizar una función (desarrollada por ti) que suprima o identifique las palabras reservadas de SQL: Insert, Select, Delete, Drop, etc. y así permitirías a los usuarios poder utilizar esos caracteres. Ahora bien, si los caracteres tu los insertas por código, es decir, que a tu cadena le adhieras los símbolos, no caería mal que compares esos signos antes de que los insertes tu, aquí ya es tu decisión.
__________________ Mejoremos nuestro país, ayudemos al planeta... próximamente. |
|
15/07/2008, 12:15
| ||||
| ||||
| Respuesta: Caracteres permitidos para evitar la inyección SQL Tienes que utilizar consultas parametrizadas para evitar este tipo de problemas de seguridad, el uso de funciones como las que muestras usualmente no sirven de mucho y causan más problemas de los que "solucionan". Saludos |
|
16/07/2008, 01:19
| ||||
| ||||
| Respuesta: Caracteres permitidos para evitar la inyección SQL Gracias a los dos por las respuestas. En cuanto a las consultas parametrizadas, ¿bastaría con utilizar procedimientos almacenados? Utilizo un clase propia para todas las consultas a las bases de datos:
Código:
Sobre lo de identificar las palabras reservadas de SQL, he visto ejemplos de inclusión de código con cadenas que no tenían ni una sola palabra, eran todo caracteres numéricos o signos de puntuación. Además tendría que depurar mucha la expresión regular para que no me filtre palabras como SELECTivo, INSERTar o incluso si se escriben textos directamente en inglés que contengan las palabras reservadas.Dim con As New ConexionesBD.datosSQL
con.EjecutaNonQuery("PA_MiProcedimiento @id = " & id & ", @valor = '" & valor & "'")
Un saludo.
__________________ ¡¡NO A LA GUERRA!! Si ponemos a nuestros mensajes títulos adecuados, la gente se animará más a abrirlos y resultarán más útiles en las busquedas. ¡No a los ayuuudaaa, urgenteee y similares! |
|
16/07/2008, 09:21
| ||||
| ||||
| Respuesta: Caracteres permitidos para evitar la inyección SQL Cita: Los procedimientos almacenados no aseguran nada, todo depende como esté implementada tu clase (y naturalmente también los procedimientos a los que invocas), pero si en el ejemplo que muestras haces una llamada como muestro abajo, entonces, ahí no hay ningún tipo de seguridad:
Iniciado por Bravenap  Gracias a los dos por las respuestas. En cuanto a las consultas parametrizadas, ¿bastaría con utilizar procedimientos almacenados? Utilizo un clase propia para todas las consultas a las bases de datos:
Código:
Dim con As New ConexionesBD.datosSQL
con.EjecutaNonQuery("PA_MiProcedimiento @id = " & id & ", @valor = '" & valor & "'")
Código:
Te sugiero leer un poco más http://msdn.microsoft.com/en-us/library/ms998271.aspx. EXEC PA_MiProcedimiento @id = " & id & ", @valor = '" & valor & "' Saludos |
