SQL Injection para principiantes, ejemplos en aplicaciones reales.

Iniciado por Ertai, 27 Septiembre 2006, 23:33 PM

0 Miembros y 1 Visitante están viendo este tema.

Valora el artículo :)

Excelente
70 (64.2%)
Bueno
25 (22.9%)
Pasable
7 (6.4%)
Malo
0 (0%)
Pésimo
7 (6.4%)

Total de votos: 100

viruss1362

Cita de: sirdarckcat en 29 Septiembre 2006, 00:30 AM
Azielito

en PHP pues.. DROP, solo si se ejecuta en ciertos contextos, pero si usas el tipico mysql_connect, mysql_query("SELECT etc.. no puedes hacer DROP

el cambio de password, y demas, denuevo, en PHP, si lo ejecutas con privilegios de root, en ciertos escenarios tambien seria posible.

con decirte, que puedes manipular archivos, ya debes de ver la peligrosidad de ejecutar como root un server mysql.

la opcion, es correr las cosas con los minimos privilegios posibles..

incluso llegue a leer que hagas un usuario para leer, otro para escribir, otro para modificar, etc.. de esta forma a un atacante le seria muy dificil hacer demasiado daño. (pero.. la verdad me daria flojera hacer 3 usuarios por tabla)..

la sugerencia final, es que si vas a ejecutar un server mysql, lo hagas sin ser root.

ademas, si es MSSQL. pues debes tener mucho cuidado, ya que ahi, si puedes ejecutar comandos de consola de forma extremadamente facil, si tienes los privilegios.

Saludos!!

Veamos, casualidad que estos dias he estado probando cosas sobre sql-injection y he tenido el mismo problema que comentas.
Según he leido mysql_query solo ejecuta una única consulta, por lo que si añadimos al propio SELECT otra consulta (usando ; para separlas) no va a funcionar, ya sea DROP, INSERT, UPDATE o lo que sea.

En que lenguajes se podria hacer esto, que no sea PHP?
Más vale parecer un idiota con la boca cerrada, que abrir la boca y demostrar que lo eres

www.equipome.com

TapIt

Muy buenas!! dudo mucho que alguien lea esto ya que el post es bastante viejo pero bueno... el caso esque e instalado la aplicacion pero cuando clico en Admin Login no me sale nada y me pasa lo mismo con el resto de pestañas... puede ser que tengo que crear la base de datos con algun tipo de cotejamiento especial?? porque no se me ocurre otra cosa...  he probado con utf8_general_ci y con utf8_bin pero nada...

Enga muchas gracias! saludos  ;)
Busca y encontrarás...

CocoMoyo

Cita de: TapIt en 20 Julio 2010, 22:25 PM
Muy buenas!! dudo mucho que alguien lea esto ya que el post es bastante viejo pero bueno... el caso esque e instalado la aplicacion pero cuando clico en Admin Login no me sale nada y me pasa lo mismo con el resto de pestañas... puede ser que tengo que crear la base de datos con algun tipo de cotejamiento especial?? porque no se me ocurre otra cosa...  he probado con utf8_general_ci y con utf8_bin pero nada...

Enga muchas gracias! saludos  ;)
Me pasa exactamente igual que a ti, y la verdad es que después de echarle un vistazo no tengo ni idea de porque es, si hay alguien que controle del tema y pueda echarnos una mano se agradece, un saludo.

AFKXDLOLNASHE

los que votaron pesimo seguro lo intentaron con google o alguna cosa guarra asi jaja.