Test injection de mis formularios

gerazmv · #1 (**permalink**) 04/11/2009, 09:58

Hola gente.
tengo la siguiente pregunta:

tengo un formulario de un buscador realizado por mi .
pero me gustaria testearlo y ver que tan bien o mal esta hecho y si soporta el tema de injection sql o js . En si , si tiene seguridad.

para ello estaria buscando algun sitio donde me puedan dar informacion o alguna aplicacion online para testerlo ya que no quiero tener vulnerabilidades de este tipo .

Extra:
Ha . y tambien estaria necesitando algun script ya sea en php o js para bloquear estas vulnerabilidades y posibles errores. alguna funcion que contemble las variables pasadas por get y quite posibles ataques

maycolalvarez · #2 (**permalink**) 04/11/2009, 11:21

para evitar una inyeccion sql, desde el server sólo debes filtar las comillas simples y demás caracteres especiales SQL(# -- '), en el caso de javascript, filtrar el tag <script>, así evitas por ejemplo los alert colgados:

do(alert('bloqueado');)while(true);

y demás problemas con js

gerazmv · #3 (**permalink**) 04/11/2009, 11:23

si he filtrado la gran mayoria . comillas. y otros caracteres, pero debe de existir algun doc o info que pueda sacarme dudas o hacer pruebas online. alguna web 2.0 test injection jejeje

Código PHP:

  function apply_filters($tag) //funcion aplica filtros
{
 $tag=htmlspecialchars(trim($tag));
 $tag= mysql_real_escape_string($tag);
 $tag = str_replace("<script", "<sc#ipt", $tag);
 $tag = str_replace("<java", "<j@va", $tag);
 $tag = str_replace("</script>", "script", $tag);
 $tag = str_replace("mail(", "m@ail(", $tag);
 $tag = str_replace("a href", "a hr@f", $tag);
 return $tag;
}

aqui mi codigo. pero vamos que deben existir fallos por alli.