Como evitar la inyección...

garciamod270304 · #1 (**permalink**) 27/07/2009, 13:02

Saludos amigos del foro, espero esten todos muy bien. Tengo una pequeña aplicación donde el usuario debe colocar el nombre de usuario y la contraseña. Pero no le tengo ninguna validación a los campos ni a la sentencia sql. Pues coloco ' or '1'='1 en los campo y logra pasar la inyección. Este es el siguiente código que utilizo:

ssql = "select * from usuario,vendedor where usuario.nombre_usuario='" & request.form("usuario") & "' and usuario.clave_usuario='" & request.form("clave") & "' and usuario.id_usuario=vendedor.id_vendedor"
Set con = Server.CreateObject("ADODB.Connection")
con.open "Provider=Microsoft.Jet.OLEDB.4.0;Data source=" & server.MapPath("bd.mdb")
set rs = con.Execute(sSQL)

iislas · #2 (**permalink**) 27/07/2009, 14:38

REGLA UNIVERSAL para evitar la inyeccion de codigo, NO mandar T-SQL desde tu aplicativo, siempre ejecutar PROCEDIMIENTOS ALMACENADOS y creo sin dudar, esta seria UNA de las medidas a tomar.

alfcm · #3 (**permalink**) 28/07/2009, 01:58

Asi es doc..

Bravenap · #4 (**permalink**) 30/07/2009, 01:15

Coincido plenamente con lo anterior. No obstante, también podrías validar previamente los valores antes de introducirlos en la cadena SQL.

Código ASP:

Ver originalDim usuario = request.form("usuario")
Dim clave = request.form("usuario")
 
'Eliminas de las variables usuario y clave los caracteres que te puedan estropear la consulta, como la comilla simple, las palabras "DECLARE", "CAST(", etc. utilizadas para inyecciones SQL...
 
ssql = "select * from usuario,vendedor where usuario.nombre_usuario='" & usuario & "' and usuario.clave_usuario='" & clave & "' and usuario.id_usuario=vendedor.id_vendedor"
Set con = Server.CreateObject("ADODB.Connection")
con.open "Provider=Microsoft.Jet.OLEDB.4.0;Data source=" & server.MapPath("bd.mdb")
set rs = con.Execute(sSQL)

Un saludo.

iislas · #5 (**permalink**) 30/07/2009, 09:07

Bravenap, No es cuestion de "validar", es cuestion de MEJORES PRACTICAS en el diseño de sistemas.

Veamos, te pongo un ejemplo, suponiendo que tienes un aplicativo que tiene muchos modulos, muchas pantallas y que en cada una de ellas, haces referencia a un simple SELECT * FROM CLIENTES_CENTRAL y que por razones de crecimiento, bla, bla, bla, bla, tienes que cambiar tu tabla por CLIENTES (singular), ¿Que tendrias que hacer?.............MODIFICAR todo tu aplicativo.

De ahi la propuesta, NO enviar codigo T-SQL desde el front.

Bravenap · #6 (**permalink**) 30/07/2009, 23:58

Cita:

Iniciado por Bravenap

Coincido plenamente con lo anterior. No obstante, ...