Saludos amigos.
Estoy buscando ayuda con este problema que tengo, no estoy seguro totalmente si se trata de inyección a mysql, ya que no se ha logrado entrar a la base de datos ni modificarla, pero seguro están tratando de atacarla.
El asunto es:
Desde una de las páginas que he creado, una de las consultas típicas que se realizan es:
Código PHP:
index.php?uno=ABC&dos=CDE
Donde
uno y
dos son las variables y
ABC y
CDE los datos a consultar, esta consulta devuelve los valores correspondientes.
Sin embargo he notado que se hacen las consultas siguientes:
Código PHP:
index.php?uno=ABC&dos=http://dominio.malicioso/inyeccion
Lo que deseo básicamente es evitar que se pueda hacer algún tipo de modificación a través del dominio malicioso en esa consulta y lo segundo es que se ejecute alguna página de error 404 ó 403
Las consultas se realizan con este cógigo típico:
Código PHP:
$datos = mysql_query("SELECT campo1,campo2 FROM tabla
WHERE uno = '$uno' AND dos = '$dos' ORDER BY campo3 DESC");
while ($row = mysql_fetch_array($datos)) {
// operaciones varias
}
Cualquier ayuda que me puedan proporcionar voy a estar muy agradecido.
Saludos.