Evita los ataques de inyección SQL en tu holo Actualizado 26/04/2013

-


aquí e vuelto con otro tutorial de como evitar los ataques de inyección de SQL .

Los ataques informáticos son nuestro pan de cada día, y entre ellos destaca últimamente los ataques de inyección de SQL
por este motivo tenemos que prevenirnos al máximo de estos ataques que cada vez se está extendiendo más su uso por la facilidad
que tiene de ponerlo en marcha cualquier persona aunque no tenga experiencia en SQL, simplemente sabiendo la cadena de texto adecuada.
Ahora os voy a explicar que medidas básicas podemos tomar para evitar estos ataques.

Como evitar estos ataques

El principal problema de estos ataques es que si dejamos que el usuario del programa introduzca libremente caracteres sin control ninguno
(mediante formularios, por ejemplo) puede llegar a aprovecharse de las comillas (simples y dobles con las que declaramos cadenas de texto o strings).
Os voy a poner un pequeño ejemplo de una consulta SQL a la que le mandamos dos parámetros (independientemente del lenguaje, ya que cualquier
lenguaje que use bases de datos SQL podría ser victima de estos ataques), que mediante el lenguaje que elijamos escribirá tal cual le mandemos los parámetros.

Código pawn.
  1. #El usuario y la contraseña que mandamos son "Error", y se haría esta consulta:
  2. SELECT * FROM `Usuarios` WHERE `user`='Error' AND `pass`='Error'
  3. #Y en este ejemplo veremos el resultado de la inyección del SQL
  4. SELECT * FROM `Usuarios` WHERE `user`='Error' AND `pass`='' UNION SELECT * FROM `Usuarios` WHERE `id` = '1'

Por lo tanto la solución genérica sería evitar que se pudieran introducir caracteres especiales (como comillas) sin haberlas transformado antes
(por ejemplo, una comilla doble: " debería de transformarse en \" que así interpretará como texto la comilla y no como el carácter que
cierra o abre el una texto en la consulta, pero según el lenguaje se puede implementar de distintas formas y algunas son automáticas y más optimizadas.


Conclusión

Se pueden evitar estos ataques en muchos lenguajes distintos, e incluso hay lenguajes que por defecto hay que complicarse para que exista este fallo
de seguridad, pero lo que tenemos que saber es que donde hay una consulta SQL puede haber una brecha de seguridad.


Salu2.

Comentarios

Publicar un comentario

Entradas populares de este blog

[CMS]Deck CMS V1| Buena index |Based Lavvos| es para xamp y iss [Habbo] ACTUALIZADO 20/04/2013

-
Imagen
Hola amigos vengo a mostrarles esta cms que la lleva haciendo un amigo por un buen tiempo y la a terminado espero que  os guste Caracteristicas: Spoiler for Hiden : -Buen Diseño -0% de Publicidad de Otros Hoteles o CMS, (Tiene un Code por toda la CMS que con solo editar en CMS_Settings de la DB, Se cambia el nombre en la CMS) -Gran Index (De Jevvix CMS) -Integrado mi Catalogo Platino V1 -Compatible con Phoenix 3.8.1 -Add-ons Bueniisimos -Nuevo Me -Actualizado -Bots al 100% -Grupos 98% (Solo fallan ALGUNOS Widgets) -Homes 98% (Igualmente solo fallan ALGUNOS Widgets) -Tienda Actualizada -Imagenes de Tienda Nuevas (De Jevvix) -SWF de Pixeleadas.es (Recomiendo Descargar Propias) [/size] Imagenes : Spoiler for Hiden : Index Register Apartir de Aqui, el Register sigue siendo el Mismo de siempre. El de HabboEs Me / home < chat , radio , canjear , cambiar name Home comunidad Tienda Tienda de placas Tienda de rares Comprar caballos Unico : efectos...
Leer más

New Habbo Room Layout (Working on any server)

-
Imagen
I do not know how to packetlog and I wanted a specific habbo room, So I went on cecars hightmap editor and created the new style of room. Hightmap xxxxxxxxxxxxxxxxxxxxxxx xXXXXXXXX9999999999999x xXXXXXXXX9999999999999x xXXXXXXXX9999999999999x xXXXXXXXX9999999999999x x00000000XXXXXXX999999x x00000000XXXXXXX999999x x00000000XXXXXXX999999x x00000000XXXXXXX999999x x000000000000000999999x x000000000000000999999x x000000000000000999999x x000000000000000999999x x000000000000000XXXXXXx x000000000000000XXXXXXx x000000000000000XXXXXXx x000000000000000XXXXXXx x000000000000000XXXXXXx x000000000000000XXXXXXx xxxxxxxxxxxxxxxxxxxxxxx Door Vars: x=0 y=12 z=0 dir=2 Enjoy! ~James UPDATE: it has been fixed to show the door and have wall items show.
Leer más

Emulador HabboLatino New Crypto ACTUALIZADO 19/04/2013

-
Imagen
Buenas Ya que hace mucho tiempo que no publico nada, vamos a publicar, El emulador de HabboLatino con la nueva crypto . Es open source así que podéis verlo y editarlo como queráis, espero que esto no de pie a NameTonto 0.0.1 y lo utiliceis adecuadamente Imágenes: Spoiler  : Descarga: DESCARGAR AQUI Release: RELEASE63-201111301255-246708295 Onlines: Aguanta 3000+ (Testeado en Habbolatino.us) VirusTotal: DESCARGAR AQUI Créditos: Butterfly R96e - Emulador base Itachi - Añadir al Emulador la Nueva Crypto Esto es todo. Recuerdos a Marianito(Fakundo, dueño de Habbolatino.us) UPDATE: - NUEVO LINK DE DESCARGA (SIN TROYANOS, VIRUS Y COSAS RARAS ) - NUEVO LINK DE VIRUSTOTAL
Leer más