Ver Mensaje Individual
  #2 (permalink)  
Antiguo 15/08/2012, 08:08
Avatar de gnzsoloyo
gnzsoloyo
Moderador criollo
 
Fecha de Ingreso: noviembre-2007
Ubicación: Actualmente en Buenos Aires (el enemigo ancestral)
Mensajes: 23.324
Antigüedad: 17 años
Puntos: 2658
Respuesta: HACKEAR sitio a traves de formulario de contacto.

La mayor parte de las medidas de seguridad se deben tomar por fuera de la base, en la aplicación, como por ejemplo, validar que los campos no contengan cosas indebidas.
Sin duda no has puesto validaciones en ese formulario para eso. ¿No?
En el foro de tu lenguaje te pueden decir más sobre eso.

A nivel de base, usa stored procedures para toda las operaciones.
Como un SP sólo puede recibir parámetros simples y no sentencias, no puedes hacerles sql-injection.
Todos los sistemas de alto nuvel de uso tienen implementada la lógica de base de datos a través de SP. Jamás se consulta una base desde la aplicación con sentencias.
Incluso más: La conexión y el acceso a datos en la aplicación se manejan con una clase específica, y nunca desde los scripts de la capa de negocio.
__________________
¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente...
"El problema es la interfase silla-teclado." (Gillermo Luque)