Ver Mensaje Individual
  #1 (permalink)  
Antiguo 21/04/2011, 23:39
Avatar de cristian_cena
cristian_cena
Colaborador
 
Fecha de Ingreso: junio-2009
Mensajes: 2.244
Antigüedad: 15 años, 5 meses
Puntos: 269
¿Como evitar caracteres especiales en una url para evitar inyección sql?

Hola compañeros.
He estado probando un sitio autoadministrable por panel que he desarrollado usando mysql y php. Y he notado que es vulnerable.
Pude autohacerme una inyección sql siguiendo este tutorial.
Necesitaría saber como puedo defenderme de este ataque de consultas vía url.

En la tabla de los administradores del panel tomo el campo del password del usuario administrador y lo pongo como md5.
¿es seguro el md5, representa una muralla para este tipo de ataques o se puede desencriptarlo?
La contraseña la escribo con minúsculas mayúsculas y números.

Al respecto:
Navegue tratando de encontrar paginas que desencripten md5 y encontré esta http://md5decryption.com/ pero me suena raro porque hice una primera prueba introduciendo el código md5 correspondiente a la cadena "admin" y lo desencriptó.
Pero luego introduje el código md5 correspondiente a una cadena ya usando mayúsculas, minúsculas y números y no lo desencriptó. No se si es una truchada o si desencripta md5 realmente.

Resumiendo. Tengo dos dudas.
1 - ¿como evitar que trabajen con caracteres especiales en la url (y tambien evitarlo vía post) y que con ello puedan consultar mi base de datos?
2 - ¿Es seguro md5? ¿o debo usar SHA1? ¿o ningúna encriptación sirve y de cualquier modo me la van a poder dar vuelta y entrar al panel?

Cualquier link, consejo o sugerencia es bienvenida.

Desde ya muchas gracias por su tiempo.

Última edición por cristian_cena; 22/04/2011 a las 00:16