20/03/2012, 11:01
| |||
| |||
| Error CodeIgniter y SQL Injection Hola Estoy escaneando mi site (Codeigniter) con McAfee Secure y entre otros problemas menores me arroja este de nivel 3 dos veces -Potentially Exploitable Database Error Message -Severity: High -Impact: SQL Injection y quisiera saber como solucionarlo, si es a nivel de aplicación o de BD? como dato extra tengo en el config habilitado para que el filtro xss sea automático $config['global_xss_filtering'] = TRUE; por favor alguna idea o sugerencia se lo agradeceré |
|
20/03/2012, 12:37
| ||||
| ||||
| Respuesta: Error CodeIgniter y SQL Injection XSS no es lo mismo que SQL Inyections, el SQL inyection se resuelve en el servidor, al escapar los caracteres especiales en los datos añadidos a SQL, de hecho CI está preparado para ello, eso si, si lo utilizas debidamente: http://stackoverflow.com/questions/1...-sql-injection XSS por otro lado es otro problema que resulta básicamente de no escapar debidamente el código HTML: http://maycolalvarez.com/articles/20...o-scripting-de
__________________ ¡Por favor!: usa el highlight para mostrar código El que busca, encuentra... |
|
20/03/2012, 15:05
| |||
| |||
| Respuesta: Error CodeIgniter y SQL Injection Estoy absolutamente de acuerdo con lo que maycolalvarez dijo, pero mira esto también: http://codeigniter.com/user_guide/database/queries.html en el apartado de "Escaping Queries". Tienes la información necesaria para saber como escapar las consultas. |
|
21/03/2012, 08:01
| |||
| |||
| Respuesta: Error CodeIgniter y SQL Injection Muchas gracias a ambos por responder por desconocimiento no tenia la costumbre de escapar las query pensaba que con xss_filtering resolvería la mayoría de las cosas, ahora lo que me queda es ponerme a escapar todas mis query, una ardua tarea. Gracias nuevamente por compartir sus condimentos |
| Etiquetas: Ninguno |
