Foros del Web » Programando para Internet » Javascript » Frameworks JS »

Blind SQL inyection

Estas en el tema de Blind SQL inyection en el foro de Frameworks JS en Foros del Web. Hola, esta funcion hace una llamada a otra página para obtener un valor y cargar datos en un combobox pero resulta que es vulnerable a ...
  #1 (permalink)  
Antiguo 28/08/2007, 07:22
 
Fecha de Ingreso: agosto-2005
Mensajes: 10
Antigüedad: 19 años, 3 meses
Puntos: 0
Blind SQL inyection

Hola, esta funcion hace una llamada a otra página para obtener un valor y cargar datos en un combobox pero resulta que es vulnerable a blind sql injections soy poco nobato en asp y ajax y no entiendo mucho hay alguna forma de asegurar al codigo o hacerlo de otra forma??

************************************************** ************************
function cargaComunas() {
var valor= document.getElementById("cmb_region").options[document.getElementById("cmb_region").selectedInde x].value;

if(valor==0) {

combo=document.getElementById("cmb_comuna");
combo.length=0;
var nuevaOpcion=document.createElement("option");
nuevaOpcion.value=0;
nuevaOpcion.innerHTML="Selecciona region...";
combo.appendChild(nuevaOpcion);
combo.disabled=true;

} else {
ajax=nuevoAjax();
ajax.open("GET", "cargar_comunas.asp?codRegion="+valor, true);
ajax.onreadystatechange=function() {

if (ajax.readyState==1) {

combo=document.getElementById("cmb_comuna");
combo.length=0;
var nuevaOpcion=document.createElement("option");
nuevaOpcion.value=0;
nuevaOpcion.innerHTML="Cargando...";
combo.appendChild(nuevaOpcion);
combo.disabled=true;
}


if (ajax.readyState==4){
document.getElementById("comunas").innerHTML=unesc ape(ajax.responseText);
}
}

ajax.send(null);
}
}
  #2 (permalink)  
Antiguo 30/08/2007, 07:21
Avatar de MaBoRaK  
Fecha de Ingreso: abril-2003
Ubicación: La Paz - Bolivia
Mensajes: 2.003
Antigüedad: 21 años, 6 meses
Puntos: 35
Re: Blind SQL inyection

loading.............


Bueno, no confíes tu seguridad o validacion a javascript, porque es DEMASIADO MANIPULABLE, solo ocupate del lado de tu servidor haciendolas validaciones correspondientes. Entre ellas las comillas dobles o simples, solo de esa forma podrías evitar un sql injection

connection closed.
__________________

Maborak Technologies
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:48.