21/06/2012, 12:59
| |||
| |||
| Posible invasión de Hacker a MySQL Hola amigos, he estado investigando la posiblidad que alguien pueda invadir y extraer los datos de mi base de datos MySQL, la pregunta es... Qué métodos o formas existe que alguien desde afuera de mi servidor, o mediante la nyección de algún código, o uso de formulario podría obtener los datos que estoy almacenando? Muchas gracias por sus aportes. Ahhh olvide mencionar, la conexión la hago con PHP, puede alguien obtener la contraseña desde el script de conexión hecho en PHP?
__________________ Guatemala - Guatemala |
|
21/06/2012, 13:26
| ||||
| ||||
| Respuesta: Posible invasión de Hacker a MySQL Cita: Más allá de eso, alguos consejos desde el punto de vista de las bases de datos:“El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados” – Gene Spafford - No hagas consultas directas desde los scripts. Usa stored procedures. Como los SP son parametrizados, todo sqlinjection que entre por parámetro genera un error de ejecución o bien devuelve datos nulos. - No uses un user genérico para las conexiones, y menos aun el mismo que usas para administrar una base. - No envíes claves y usuarios sin encriptar. Y menos aún los almacenes sin encriptarlas. - Nunca envíes sentencias DDL por script. La base nunca debe cambiar dinamicamente, porque eso significa que el user tiene exceso de privilegios.
__________________ ¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente... "El problema es la interfase silla-teclado." (Gillermo Luque) |
| Etiquetas: |
