SQL Injection con ejemplos

Interesante artículo de introducción a los ataques de injección de código sql.

7 comentarios en: tecnología, internet karma: 605

etiquetas: hack, sql, a_machete

negativos: 0 usuarios: 111 anónimos: 0 compartir:

#1 que bonitos los acentos.... :roll:
votos: 0, karma: 10
por Carme el 07-06-2006 16:48 UTC
#2 Ejemmm...no quiero mirar si ha sallido en digg o no..no me voy a molestar, pero si hago:

www.google.es/search?hl=esn

voila!!:-D
votos: 0, karma: 20
por s0phisma el 07-06-2006 16:50 UTC
#3 Me encanta la etiqueta: a_machete :-D
votos: 0, karma: 7
por kolme el 07-06-2006 20:29 UTC
#4 Con que PHP filtre las comillas de entrada (por defecto desde hace tiempo) y nosotros pasemos las strings en la SQL entre ' ' es suficiente para filtrar cualquier SQL injection. Y los números un "isnumeric" basta (incluso ni eso poniendolos entre comillas).
Eso que se comenta en el artículo, es más viejo que el "Howto Pringao".
votos: 0, karma: 7
por gazpa el 07-06-2006 21:08 UTC
#5 #1 no suelo porner acentos, por aquello del UTF-8 ;)
votos: 0, karma: 6
por elektroduende el 07-06-2006 21:49 UTC
#6 Ya que nos ponemos talibanes, 'inyección' va con 'y', no con 'j'.
votos: 0, karma: 7
por Johan el 07-06-2006 23:51 UTC
#7 gazpa, hay más lenguajes aparte de PHP y más bases de datos que MySQL, de hecho muchas veces hay que desarrollar las aplicaciones abstrayéndonos de la base de datos, por lo que no puedes confiar en características específicas de una base de datos, como lo que comentas de MySQL por la que en cualquier atributo se pueden meter valores entrecomillados.

Por otra parte, te comento que lo que dices de las comillas que se filtran automáticamente, supongo que te referiras al gpc_magic_quotes, uno de los peores inventos de PHP, en este post lo tienes más explicado: www.eslomas.com/index.php/archives/2005/10/13/como-evitar-problemas-co/
votos: 0, karma: 6
por dixie el 08-06-2006 12:34 UTC