Foros del Web » Programación para mayores de 30 ;) » Bases de Datos General » Mysql »

HACKEAR sitio a traves de formulario de contacto.

Estas en el tema de HACKEAR sitio a traves de formulario de contacto. en el foro de Mysql en Foros del Web. Hola gente, me hackearon el sitio, y según estuve averiguando podrían haber introducido una sentencia MySQL a traves del formulario de contacto. Alguien sabe que ...
  #1 (permalink)  
Antiguo 15/08/2012, 07:54
 
Fecha de Ingreso: julio-2009
Ubicación: Montevideo, UY
Mensajes: 129
Antigüedad: 15 años, 3 meses
Puntos: 1
Pregunta HACKEAR sitio a traves de formulario de contacto.

Hola gente, me hackearon el sitio, y según estuve averiguando podrían haber introducido una sentencia MySQL a traves del formulario de contacto.
Alguien sabe que medidas de seguridad puedo tomar como para evitar eso?
Muchas gracias!
Pancho.
  #2 (permalink)  
Antiguo 15/08/2012, 08:08
Avatar de gnzsoloyo
Moderador criollo
 
Fecha de Ingreso: noviembre-2007
Ubicación: Actualmente en Buenos Aires (el enemigo ancestral)
Mensajes: 23.324
Antigüedad: 17 años
Puntos: 2658
Respuesta: HACKEAR sitio a traves de formulario de contacto.

La mayor parte de las medidas de seguridad se deben tomar por fuera de la base, en la aplicación, como por ejemplo, validar que los campos no contengan cosas indebidas.
Sin duda no has puesto validaciones en ese formulario para eso. ¿No?
En el foro de tu lenguaje te pueden decir más sobre eso.

A nivel de base, usa stored procedures para toda las operaciones.
Como un SP sólo puede recibir parámetros simples y no sentencias, no puedes hacerles sql-injection.
Todos los sistemas de alto nuvel de uso tienen implementada la lógica de base de datos a través de SP. Jamás se consulta una base desde la aplicación con sentencias.
Incluso más: La conexión y el acceso a datos en la aplicación se manejan con una clase específica, y nunca desde los scripts de la capa de negocio.
__________________
¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente...
"El problema es la interfase silla-teclado." (Gillermo Luque)

Etiquetas: formulario, hackear, sql, traves
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:34.