elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Evitar Inyeccion en MySQL
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Evitar Inyeccion en MySQL  (Leído 9,758 veces)
ZharkD

Desconectado Desconectado

Mensajes: 112


Ver Perfil WWW
Re: Evitar Inyeccion en MySQL
« Respuesta #10 en: 14 Mayo 2010, 04:56 am »

xD, la verdad, no entendí un fuck!  :rolleyes:
Waaaa, tratare de hacerlo en algoritmo:

* Cargar Web y contenido
- Proporcioar formulario.
- SI, el formulario se ha enviado
- - Revisar variables enviadas (con $_POST) con funciones stripslashes(), mysql_real_escape_string().
- - SI, pasa la validacion (aqui esta garantizado que ya NO pasan las inyecciones)
- - - Generar la consulta en la base de datos.
- - SI NO
- - - Regresar error en el formulario para que el visitante corrija el texto enviado.


En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Evitar Inyeccion en MySQL
« Respuesta #11 en: 14 Mayo 2010, 05:11 am »

Bueno, creo que así es la cosa. Por ejemplo:

Codigo:
Código
  1. <html>
  2. <head><title>PoC</title></head>
  3. <body>
  4. <form action='index.php' method='POST'>
  5. <input type="text" name="txtPoC" ><br>
  6. <input type="submit" name="btnEnviar" value="Enviar" type="submit">
  7. </form>
  8. <?PHP
  9. echo htmlspecialchars($_POST['txtPoC'], ENT_QUOTES);
  10. ?>
  11. </body>
  12. </html>
Resultado:
Código
  1. &lt;script&gt;alert(/XSS/)&lt;/script&gt;


En línea

Te vendería mi talento por poder dormir tranquilo.
BHK

Desconectado Desconectado

Mensajes: 14


The Hacktivism is not a crime


Ver Perfil WWW
Re: Evitar Inyeccion en MySQL
« Respuesta #12 en: 14 Mayo 2010, 06:33 am »

la mejor prevención ya te la dieron

https://foro.elhacker.net/php/evitar_inyeccion_en_mysql-t293510.0.html;msg1453264#msg1453264

en ese enlace está tooooooodo lo que necesitas para prevenir inyeccion sql y xss.
En línea

ZharkD

Desconectado Desconectado

Mensajes: 112


Ver Perfil WWW
Re: Evitar Inyeccion en MySQL
« Respuesta #13 en: 14 Mayo 2010, 16:37 pm »

la mejor prevención ya te la dieron

https://foro.elhacker.net/php/evitar_inyeccion_en_mysql-t293510.0.html;msg1453264#msg1453264

en ese enlace está tooooooodo lo que necesitas para prevenir inyeccion sql y xss.
Si,

Efectivamente ya lo lei y si es lo mejor, sin embargo me gustaria saber si mi deduccion es la correcta, ya que me gustaria saber COMO funcionan las cosas no simplemente como prevenirlas si no entiendo su funcionamiento al 100%.
Aver si entiendo bien,

Me pase a leer algunos manuales en linea para comprender mejor los links que me dejaron arriba y esta es mi deduccion, por favor corrijanme si estoy mal:
"Una inyeccion se puede prevenir si se realiza la validacion DESPUES del $_POST pero ANTES de realizar mis consultas en las bases de datos."
A mayores palabras, un ejemplo:
Digamos que yo tengo un campo de texto (como dueño, script). Entonces proporciono ese campo a un visitante, el cual curiosamente ingresa " '); mysql_query(....); " entonces presiona enviar. Hasta ahora solo se ha asignado el valor de " '); mysql_query(....); " a la variable $_POST['ejemplo'] como contenido "textual" unicamente. Ahora bien, apra evitar que se genere la consulta que el visitante realizo, debo validar esa variable con algunas funciones como stripslashes(), mysql_real_escape_string() y otras mas. Se procede con una condicion, la cual establecera si la variable enviada es valida, en caso que lo sea generara mi consulta (mi script), en caso contrario, regresara un error en la webform y de esta manera evitara la inyeccion.

En resumen, una inyeccion NO procede hasta que el mismo script propio del dueño le da acceso tras generar una consulta del script, dando paso de esta manera a que la variable que solo era texto, se convierta en una instruccion para afectarnos.

Es correcta mi deduccion?
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Inyeccion SQL en mysql 3.X
Nivel Web
Cleantesdeasso 0 2,297 Último mensaje 8 Diciembre 2011, 10:21 am
por Cleantesdeasso
Como evitar una inyección sql?
Nivel Web
andvilla07 1 2,293 Último mensaje 26 Noviembre 2012, 15:46 pm
por Shell Root
Cómo evitar inyección SQL?
PHP
exelovin 6 4,005 Último mensaje 13 Abril 2013, 12:33 pm
por exelovin
Se puede evitar inyección DLL ?
Análisis y Diseño de Malware
Vaagish 4 3,741 Último mensaje 29 Noviembre 2013, 22:45 pm
por Vaagish
Evitar inyeccion y burp suite java
Seguridad
kkshihack 0 2,124 Último mensaje 11 Febrero 2016, 18:57 pm
por kkshihack
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines