Ver Mensaje Individual
  #6 (permalink)  
Antiguo 30/08/2012, 23:37
fher2010
 
Fecha de Ingreso: agosto-2010
Mensajes: 44
Antigüedad: 14 años, 3 meses
Puntos: 4
Respuesta: Sitio hackeado

Saludos nuevamente .... aún con algo de coraje por el ataque de ayer y trabajando sobre el tema de seguridad quería complementar para quienes estén en lo mismo... o les interese el tema ..
buscando encontré mucha información al respecto .. en particular me gustó este sitio http://phpbarcelona.org/files/phpwor...ckWeb-v1-4.pdf .. hay bastante info al respecto ...
También encontré q el uso de addslashes o stripslashes entre otros no es del todo útil .. aunq sirve ... de todas maneras me pareció interesante .. así como el utilizar una función para limpiar cadenas ... en este caso el usuario y password de los usuarios q se loguean a mi módulo adm ... con algunas modificaciones .. quiero compartir con ustedes esto .. a ver q opinan al respecto
Código PHP:
Ver original
  1. function filtro($cadena){
  2.     $valor = str_ireplace("SELECT","",$cadena);
  3.     $valor = str_ireplace("COPY","",$cadena);
  4.     $valor = str_ireplace("DELETE","",$cadena);
  5.     $valor = str_ireplace("DROP","",$cadena);
  6.     $valor = str_ireplace("DUMP","",$cadena);
  7.     $valor = str_ireplace(" OR ","",$cadena);
  8.     $valor = str_ireplace("%","",$cadena);
  9.     $valor = str_ireplace("LIKE","",$cadena);
  10.     $valor = str_ireplace("--","",$cadena);
  11.     $valor = str_ireplace("^","",$cadena);
  12.     $valor = str_ireplace("[","",$cadena);
  13.     $valor = str_ireplace("]","",$cadena);
  14.     $valor = str_ireplace("\\","",$cadena);
  15.     $valor = str_ireplace("!","",$cadena);
  16.     $valor = str_ireplace("¡","",$cadena);
  17.     $valor = str_ireplace("?","",$cadena);
  18.     $valor = str_ireplace("=","",$cadena);
  19.     $valor = str_ireplace("&","",$cadena);
  20.     $valor = str_ireplace(".","",$cadena);
  21.     $valor = str_ireplace(">","",$cadena);
  22.         $valor = str_ireplace("<","",$cadena);
  23.     $valor = str_ireplace("/","",$cadena);
  24.     $valor = str_ireplace("-","",$cadena);
  25.     $valor = str_ireplace("+","",$cadena);
  26.     $valor = str_ireplace("'","",$cadena);
  27.     $valor = str_ireplace(" ","",$cadena);
  28.     return $cadena;
  29.     }
  30.  
  31. if (isset($_POST['user'], $_POST['pass'])) {
  32.     $usr = $_POST['user'];
  33.     $pass = $_POST['pass'];
  34.     $usuario=filtro($usr);
  35.     $clave=filtro($pass);
  36. //Y LUEGO VENDRÍAN LAS CONSULTAS RESPECTIVAS Y LOGUEO
  37. }

Con esta pequeña función se elimina todo caracter que se me ocurrió podría ser parte de un código malicioso así como los espacios .. dando como resultado una única cadena alfanumérica ...

Espero opiniones ...

Salud2...