4 replies to this topic

[razadi]

Amigo, buen día, nuevamente por acá preguntando lo siguiente: como puedo inyectar una sentencia en una pagina hecha en php.

Acabo de desarrollar un sistema en PHP con acceso a MySQL, pero estoy probando la seguridad del mismo, eh buscado las formas de inyectar sentencias sql desde el sistema.

haciendo pruebas inserto sentencias pero al revisar el script me sustituye los apostrofes "'" a algo asi "\'" y esto obvio me produce un error. algun consejo, primero para insertar de una manera segura y otra para poder proteger el sistema a ataques como estos.

saludos.

[enecumene]

Pues es porque es posible que tengas las magic_quotes activada.

Saludos.

[razadi]

Si de hecho si esta activado, pero con esto ya puedo evitar la inyección no hay forma de por algún código se puedan meter a dicho sistema y cambiar algo???

[poliburro]

una manera de evitar la inyección de código es usando Procedimientos almacenados amigo,

[porfi.dev]

apoyo lo anterior

en ves de hacer:

$consulta = "Select * From $tabla"


harias

$consulta = "call seleccionar_tabla($tabla)", y el motor de la Base de datos haria el resto.

Sin embargo todo depende a como te guste desarrollar. Las routines o procedures, requieren un usuario , si las cambias de servidor hay que modificar el usuario en cada una de ellas o crear el mismo usuario en el nuevo servidor.