cristianvar Posted April 26, 2012 Report Share Posted April 26, 2012 Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella. Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio. Vamos a ver la función: #Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregÃ. <?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podrÃamos utilizar este ejemplo: <?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código: <?php $usuario = limpiar($_GET['usuario']); ?> Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar. A los que les interese todo el tema de seguridad, pueden ver esta guÃa en PDF bastante útil: Debes iniciar sesión para ver el contenido del enlace en esta publicación. Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda. Saludos. TonyStark, KeKo, Hikary and 5 others 8 Quote Link to comment Share on other sites More sharing options...
TonyStark Posted May 11, 2012 Report Share Posted May 11, 2012 gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor Quote Link to comment Share on other sites More sharing options...
Nico1Pro Posted May 24, 2012 Report Share Posted May 24, 2012 gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor Quote Link to comment Share on other sites More sharing options...
cristianvar Posted June 22, 2012 Author Report Share Posted June 22, 2012 gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor SÃ, es en la web. No tiene ningún estilo, pero la intención es que cada uno lo personalice como quiera. De todas formas, esta guÃa NO la hice para usuarios novatos, la hice para los que ya tienen algún conocimiento del lenguaje PHP. Quote Link to comment Share on other sites More sharing options...
Guest cristianoronaldo Posted June 25, 2012 Report Share Posted June 25, 2012 Lo probare aver que tal va Quote Link to comment Share on other sites More sharing options...
raptor Posted July 29, 2012 Report Share Posted July 29, 2012 Hola donde pongo el scrypt de arriva en el config ??? y el escript de abajo donde lo pongo en el index alguien que me lo explique la funcion porfavor Quote Link to comment Share on other sites More sharing options...
Fiti Posted August 16, 2012 Report Share Posted August 16, 2012 Muy buen aporte. Me gustarÃa añadir que con esto no se soluciona 100% los problemas con la web. Hay muchos métodos mediante el cual una web puede ser "hackeada" y los cuales también tienen parches. Pero esto, que sepáis, es el juego del gato y el ratón. Como dije, muy buen aporte, aunque hoy en dÃa si el que ha programado una página es buen programador, ésto es una de las cosas que le salen "como andar". Un saludo! Quote Link to comment Share on other sites More sharing options...
cristianvar Posted August 20, 2012 Author Report Share Posted August 20, 2012 Exacto, pero yo, por ejemplo, cuando recién empecé con PHP y MySQL, no conocÃa esto, y como ningún trabajo de los que hacÃa era para algún proyecto importante, nunca me molesté en buscar vulnerabilidades y soluciones en mis scripts. Un saludo! Fiti 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.