¡Buenas!


He estudiado SQL  en un curso laboral y MySql por mi cuenta. Hace un tiempo leí sobre una organización que hacía ataques 'SQLi' para sacar información de la base de datos de las webs.

El caso es que estoy creando una aplicación en .php, y pienso sacarla a la red en unos meses. Si va bien me gustaría poner una sección premium de pago.

Está claro que en mi BBDD tendré información sensible, como son datos bancarios, o al menos de paypal, por lo que no me interesa ser víctima de un ataque SQLi, más que nada porque es un proyecto serio que busca comprometerse con el cliente. Y en esto la seguridad es lo primero.

Hoy estuve realizando ataques SQLi a mi web, y para mi sorpresa he descubierto algunas vulnerabilidades que tengo que arreglar.

Aún así, logré sacar mi usuario admin y mi contraseña. Pero claro, sino pueden acceder a mi cpanel o Myphppanelno pueden hacer nada, ¿no?. Estuve buscando webs que haces ataques de fuerza bruta con diccionarios tipo sencillos para descubrir el cpanel de mi web, pero no lo ha conseguido.

Me siento un poco intranquilo... cualquiera puede ver lo que quiera de mi BBDD aunque no pueda modificar nada, al no saber mi cpanel.

Es decir, mi web estaría a salvo mientras no encontrasen cpanel, pero la información de mis clientes se filtra.... ¡Y eso es algo que no puedo permitirme!

¿Alguien podría darme consejos, recomendarme bibliografía, etc? Me interesan las dos cosas, lo de encontrar cpanel y lo de impedir que se filtre información.

¡Muchas gracias!