Foros del Web » Programando para Internet » PHP »

Fallo de seguridad

 Estas en el tema de Fallo de seguridad en el foro de PHP en Foros del Web. Hola foreros! Veran, he construido una web en mi servidor local, para evitar las inyecciones sql use mysql_real_scape_string (creo que es asi como se escribe) ...
  #1 (permalink)  
Antiguo 12/01/2011, 13:51
 
Fecha de Ingreso: abril-2010
Mensajes: 62
Antigüedad: 14 años, 7 meses
Puntos: 0
Exclamación Fallo de seguridad
Hola foreros!

Veran, he construido una web en mi servidor local, para evitar las inyecciones sql use mysql_real_scape_string (creo que es asi como se escribe) con las variables que despues pondria en la sentencia sql.

Intente hacer un ataque a mi servidor con SQLI Helper (ya que no entiendo mucho de inyeccion) y no consegui sacar la base de datos.

El problema es que he subido la web al hosting que tiene contratado la empresa para la que construi la web y aora si que se le pueden hacer ataques por inyeccion con el mismo programa y sacar toda la base de datos.

¿es posible que el hosting no tenga instalada la funcion mysql_real_scape_string??
¿que podria estar fallando?
¿me recomiendan otra funcion?

Los usuarios los encripte con md5 por lo que las claves no pueden saberlas.

Gracias por vuestro tiempo!!
  #2 (permalink)  
Antiguo 12/01/2011, 16:01
Avatar de Triby
Mod on free time
  
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: Fallo de seguridad
Sin ver tu codigo es dificil saber si se trata de un error de programacion, pero, si tienes:

$cadena_segura = mysql_real_escape_string($cadena_no_segura);

Suponiento que en el servidor no exista la funcion, entonces el script no se ejecutaria. Lo mejor es que pongas un ejemplo de como armas tus consultas y ahi es donde podriamos ver si estas fallando con algo.
__________________
- León, Guanajuato
- GV-Foto
  #3 (permalink)  
Antiguo 12/01/2011, 16:19
 
Fecha de Ingreso: abril-2010
Mensajes: 62
Antigüedad: 14 años, 7 meses
Puntos: 0
Respuesta: Fallo de seguridad
gracias por responder!

te pongo un ejemplo de una consulta de este tipo

$sql="SELECT * FROM noticias WHERE id=".mysql_real_escape_string($_GET['noticia']);
  #4 (permalink)  
Antiguo 12/01/2011, 16:53
Avatar de Triby
Mod on free time
  
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: Fallo de seguridad
Pues si todos tus campos los pasas por mysql_real_escape_string() no veo como puede haber inyeccion, algo debes tener por ahi que quedo sin esa proteccion.

Muestra aqui todo el script que es sujeto de ataque al subirlo al servidor y ya veremos donde esta el fallo.
__________________
- León, Guanajuato
- GV-Foto
  #5 (permalink)  
Antiguo 13/01/2011, 04:26
 
Fecha de Ingreso: abril-2010
Mensajes: 62
Antigüedad: 14 años, 7 meses
Puntos: 0
Respuesta: Fallo de seguridad
Hola de nuevo!

te comento, ahora mismo no tengo el codigo, cuando llegue a casa lo posteo, lo que se me olvido comentar es que la antigua web aun esta en el servidor y yo podia hacer inyeccion a la antigua web antes de subir la mia.

De forma que la web estaria asi:

www.laweb.es
www.laweb.es/nueva/

es posible que si la web antigua tiene un problema de seguridad de este tipo afecte a la nueva y se vean las dos bases de datos?

Etiquetas: fallo, seguridad
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 09:27.