cristianvar Publicado 26 de Abril del 2012 Reportar Compartir Publicado 26 de Abril del 2012 Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella. Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio. Vamos a ver la función: #Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregÃ. <?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podrÃamos utilizar este ejemplo: <?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código: <?php $usuario = limpiar($_GET['usuario']); ?> Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar. A los que les interese todo el tema de seguridad, pueden ver esta guÃa en PDF bastante útil: Debes iniciar sesión para ver el contenido del enlace en esta publicación. Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda. Saludos. Laura Torres, Hikary, TonyStark y 5 mas reacciono a esto 8 Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
TonyStark Publicado 11 de Mayo del 2012 Reportar Compartir Publicado 11 de Mayo del 2012 gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
Nico1Pro Publicado 24 de Mayo del 2012 Reportar Compartir Publicado 24 de Mayo del 2012 gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
cristianvar Publicado 22 de Junio del 2012 Author Reportar Compartir Publicado 22 de Junio del 2012 gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor SÃ, es en la web. No tiene ningún estilo, pero la intención es que cada uno lo personalice como quiera. De todas formas, esta guÃa NO la hice para usuarios novatos, la hice para los que ya tienen algún conocimiento del lenguaje PHP. Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
Guest cristianoronaldo Publicado 25 de Junio del 2012 Reportar Compartir Publicado 25 de Junio del 2012 Lo probare aver que tal va Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
raptor Publicado 29 de Julio del 2012 Reportar Compartir Publicado 29 de Julio del 2012 Hola donde pongo el scrypt de arriva en el config ??? y el escript de abajo donde lo pongo en el index alguien que me lo explique la funcion porfavor Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
Fiti Publicado 16 de Agosto del 2012 Reportar Compartir Publicado 16 de Agosto del 2012 Muy buen aporte. Me gustarÃa añadir que con esto no se soluciona 100% los problemas con la web. Hay muchos métodos mediante el cual una web puede ser "hackeada" y los cuales también tienen parches. Pero esto, que sepáis, es el juego del gato y el ratón. Como dije, muy buen aporte, aunque hoy en dÃa si el que ha programado una página es buen programador, ésto es una de las cosas que le salen "como andar". Un saludo! Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
cristianvar Publicado 20 de Agosto del 2012 Author Reportar Compartir Publicado 20 de Agosto del 2012 Exacto, pero yo, por ejemplo, cuando recién empecé con PHP y MySQL, no conocÃa esto, y como ningún trabajo de los que hacÃa era para algún proyecto importante, nunca me molesté en buscar vulnerabilidades y soluciones en mis scripts. Un saludo! Fiti reacciono a esto 1 Citar Enlace para comentar Compartir en otros sitios Mas opciones de compartir...
Mensajes recomendados
Unirse a la conversación
Puedes publicar ahora y registrarte más tarde. Si tienes una cuenta, regístrate para publicar con su cuenta.