elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Dudas Generales (Moderador: engel lex)
| | |-+  Bases de datos
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Bases de datos  (Leído 2,895 veces)
Lehrling00

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Bases de datos
« en: 24 Mayo 2017, 02:27 am »

Hola muchachos soy nuevo en el foro entre porque estoy haciendo un trabajo sobre seguridad en bases de datos y tengo una duda: ¿porqué cuando encuentro esto .php?= en la dirección de una pagina, se sabe que es vulnerable a inyecciones sql?, ¿qué es lo que representa o que significa esa linea y como se puede evitar mostrarla? 


En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Bases de datos
« Respuesta #1 en: 24 Mayo 2017, 02:38 am »

es cosa de aprender php

no es .php?=

es

.php?variable=valor

usualmente los novicios tienden a no filtrar sus solicitudes a la DB, así que hacen un
Código:
web.php?pagina=1

y en el código

Código
  1. $pagina = $_GET["pagina"]
  2. $sql = "SELECT * FROM tabla WHERE campo='$pagina' ";

esto permite a una atacante hacer una segunda peticion alli

lo peligroso no es el ?pagina=1, es como se filtre eso una vez dentro del servidor...

por toro lado a tu pregunta, como se puede evitar, eso se arregla con "url amistosas" sin embargo el problema persiste si no se filtra la data



En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Randomize
Colaborador
***
Desconectado Desconectado

Mensajes: 20.599


Beautiful Day


Ver Perfil
Re: Bases de datos
« Respuesta #2 en: 24 Mayo 2017, 05:08 am »

Deberías leer también sobre "honey pot".


Un saludo.
En línea

Orubatosu


Desconectado Desconectado

Mensajes: 2.515


Ver Perfil WWW
Re: Bases de datos
« Respuesta #3 en: 24 Mayo 2017, 19:57 pm »

Lo que debes intentar no es evitar mostrar una vulnerabilidad, sino evitarla

Existen en cada lenguaje diferentes métodos, normalmente conocidos como "consultas preparadas" o "consultas parametrizadas"

Normalmente cualquier lenguaje moderno que accede a una base de datos incluye mecanismos para ello. Básicamente consiste en tener la consulta ya preparada y añadir el parámetro de búsqueda mediante una instrucción a un objeto ya existente que contiene la consulta. Si este no tiene el formato correcto, la instrucción simplemente no se ejecuta (en algunos lenguajes ello implica excepciones que hay que tratar)
En línea

"When People called me freak, i close my eyes and laughed, because they are blinded to happiness"
Hideto Matsumoto 1964-1998
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
vb y bases de datos
Programación Visual Basic
ornitorrinco 1 2,375 Último mensaje 10 Septiembre 2005, 06:41 am
por Slasher-K
Ejercicio bases de datos mysql, manipulación de datos.
Bases de Datos
KaRaLLo 0 12,922 Último mensaje 14 Mayo 2012, 21:27 pm
por KaRaLLo
Bases de datos
Dudas Generales
Anonimouscomercial 2 2,951 Último mensaje 22 Octubre 2021, 11:52 am
por Machacador
Comprar muchas bases de datos
Hacking
ulaula1 1 6,453 Último mensaje 30 Junio 2022, 17:37 pm
por el-brujo
Bases de datos filtradas
Dudas Generales
arcav 1 1,899 Último mensaje 4 Octubre 2023, 09:45 am
por Mr.Byte
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines