elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Evitar inyeccion SQL en mysql y redireccionar
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Evitar inyeccion SQL en mysql y redireccionar  (Leído 13,302 veces)
RicRed

Desconectado Desconectado

Mensajes: 66



Ver Perfil WWW
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #10 en: 17 Marzo 2010, 16:05 pm »

Muchas gracias por la ayuda a todos.

ejejeje si bueno queria saber como saltar un alert, pero mejor el redireccionamiento a la index.

Saludos...
En línea

ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #11 en: 17 Marzo 2010, 17:50 pm »

Hola.

Yo para hacer lo que tu comentas lo que hago es hacerme 1 función sencillita, con un for que recorre la cadena y verifica si ahi algun caracter "raro".

Esta función no contiene funciones especificas de php y es como diria yo "estandar" jeje.

Aqui tienes, (esta función la tendrias que llamar antes del procesamiento de datos para verificar si te intentan inyectar sql inyection).

Código:
function verificarsql($valor) {
 for(int $i=0;$i<=strlen($valor);$i++)
  if($valor[$i]=='-' || $valor[$i]=='=') {
   echo '<script>alert("No se admiten caracteresespeciales");location.href="PAGINA     A REDIRECCIONAR";</script>';
  }

}


Pero realmente esa función no es muy efectiva que digamos (se puede saltar facilmente).

Lo que podrias hacer es que, las contraseñas solo contengan números y verificar con una función si alguna letra escrita es diferente a un número, (con esta función):

Código:
function verificarcaracter($valor) {
 for(int $i=0;$i<=strlen($valor);$i++)
  if($valor[$i]<0 || $valor[$i]>9)
    echo '<script>alert("No se admiten estos caracteres.");location.href="pagina a redireccionar";</script>';


}



Yo te recomendaria la 2º opción, pero tiene un inconveniente y es que las contraseñas solamente las podrias almacenar númericas (solamente números).
--------------------------------
Explicación código:

1º Función: lo que hace esta función es recorrer todos los caracteres de la cadena que le pasamos como parametro ($valor) y verificar si se encuentra algun caracter (-) o un signo igual (=) devolver un error y redireccionar a la página que queramos.

2º Función: Lo que hace esta función es recorrer todos los carácteres de la cadena que le pasamos como parámetro ($valor) y verificar si se encuenta algun caracter. Ya que las contraseñas solamente contendran números.
---------------------------------------------


Ya se que el código puede mejorarse con funciones como htmlentities() y demás funciónes de php para manejar los caracteres "raros" pero a mi me gusta hacerme funciones "de toda la vida" y no elegir funciones especificas de un lenguaje...


NOTA: Debes de cambiar en el location.href= el texto de REDIRECCIONAR PAGINA, al fichero que quieres redireccionar despues del error.

-----------------------------------------------------------------------------------------
Añado:


La redirección utilizando la función header() de php, como ha dicho el usuario (fede_cp) es muy buena opción, pero tiene un pero, y el pero es el siguiente:

Esta función te dará error si la insertas despues de varias lineas de código de php. ¿Porque? pues porque los "headers" de la página ya se habran enviado al servidor, y la función header() no funcionará, ya que, el script en php, te dará un warning diciendote que los headers ya han sido enviados, que no se pueden modificar ya que han sido enviados.

¿A que se traduce esto? A que no redireccionaria.

Por este caso, utilizo yo location.href de javascript para redireccionar, ya que, el 95% de los navegadores actuales tienen javascript activado por defecto y muy poca gente (por no decir ningúna) no desactiva javascript, asi que, no tendrias problemas.
---------------------------------------------------------------------------------------------


Estas funciónes aún se le puede meter más azucar para que sea más dulce jeje...

Se pueden modificar para que, cuando detecte una inyección de ese tipo, guarde la ip del visitante ($_SERVER['REMOTE_ADDR']), en un fichero de texto o base de datos para ver si la misma persona intenta atacarte varias veces y tomar medidas. Incluso, al detectar
ese tipo de inyección te podria enviar un correo, avisandote de que
tal ip te esta intentando hackear.

Si necesitas la función más "azucarada" jeje, dimelo y te la posteo aqui en 5 minutitos.

Ya me cuentas!
Saludos.
« Última modificación: 17 Marzo 2010, 18:02 pm por ZaPa » En línea

RicRed

Desconectado Desconectado

Mensajes: 66



Ver Perfil WWW
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #12 en: 17 Marzo 2010, 23:32 pm »

Muchas gracias ZaPa muy buena tu explicacion y la de todos que me han prestado su ayuda.

Saludos.
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #13 en: 17 Marzo 2010, 23:44 pm »

Código:
function verificarcaracter($valor) {
 for(int $i=0;$i<=strlen($valor);$i++)
  if($valor[$i]<0 || $valor[$i]>9)
    echo '<script>alert("No se admiten estos caracteres.");location.href="pagina a redireccionar";</script>';


}
What The Fuck!
Código
  1. if($valor[$i]<0 || $valor[$i]>9)
  2. //Si ($valor[$i] es menor a cero Ó $valor[$i] es mayor a nueve)

Creo que si quieres hacer eso <aunque prefiero la de WHK>, usa la función is_numeric. Así:
Código
  1. function verificarCaracterNumerico($intValor){
  2.  for($i=0;$i<=strlen($intValor);$i++){
  3.    if(is_numeric($intValor[$i])){
  4.      return 'SÍ! es Numerico';
  5.    }elseif (!is_numeric($intValor)){
  6.      return 'NO! es Numerico';
  7.    }else{ return 'jejeje WTF!';}
  8.  }//Next
  9. }//End Function
  10.  
  11. $strPoC = 'Shell Root';
  12. echo verificarCaracterNumerico($strPoC);
« Última modificación: 18 Marzo 2010, 00:00 am por Alex@ShellRoot » En línea

Te vendería mi talento por poder dormir tranquilo.
ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #14 en: 18 Marzo 2010, 00:05 am »

Hola de nuevo a todos.


Si, para hacer eso mismo se que esta la función is_numeric(),pero como he dicho anteriormente, me gusta hacer las cosas lo más puras posible, es decir, si puedo evitar utilizar funciones de un propio lenguaje mejor. Asi podré portarlas a otro lenguaje sin muchos cambios.

De todas formas la 2º funcion (comprobar si añadimos carácter) es muy buena opción.

Saludos.
En línea

RicRed

Desconectado Desconectado

Mensajes: 66



Ver Perfil WWW
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #15 en: 18 Marzo 2010, 01:39 am »

Hola ZaPa, me podrias decir la de que guarda la ip del visitante ($_SERVER['REMOTE_ADDR']),

Please, me interesa mucho esa asi podria detectar la IP que me esta haciendo la Inyeccion SQL, muy buena idea.
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #16 en: 18 Marzo 2010, 02:22 am »

Miraté este LINK http://www.php.net/manual/en/reserved.variables.server.php
En línea

Te vendería mi talento por poder dormir tranquilo.
RicRed

Desconectado Desconectado

Mensajes: 66



Ver Perfil WWW
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #17 en: 18 Marzo 2010, 03:16 am »

Ok gracias.
« Última modificación: 18 Marzo 2010, 03:24 am por asasasaq » En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #18 en: 18 Marzo 2010, 03:19 am »

Por lo menos, viste los 2 primeros link's que te dí?
En línea

Te vendería mi talento por poder dormir tranquilo.
ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: Evitar inyeccion SQL en mysql y redireccionar
« Respuesta #19 en: 18 Marzo 2010, 03:34 am »

Hola.
Código:
$ip=$_SERVER['REMOTE_ADDR'];


Y en la variable $ip tienes la ip del visitante, ya puedes enviarla por mail con la función mail(), o escribirla en un txt,base de datos....
En línea

Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Inyeccion SQL en mysql 3.X
Nivel Web
Cleantesdeasso 0 2,282 Último mensaje 8 Diciembre 2011, 10:21 am
por Cleantesdeasso
Como evitar una inyección sql?
Nivel Web
andvilla07 1 2,276 Último mensaje 26 Noviembre 2012, 15:46 pm
por Shell Root
Cómo evitar inyección SQL?
PHP
exelovin 6 3,984 Último mensaje 13 Abril 2013, 12:33 pm
por exelovin
Se puede evitar inyección DLL ?
Análisis y Diseño de Malware
Vaagish 4 3,706 Último mensaje 29 Noviembre 2013, 22:45 pm
por Vaagish
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines