“Conocimientos Redes>Seguridad de Red

Cómo bloquear SQL Inyecciones

2013/11/22
inyección de SQL es una forma de ataque a la red que consiste en código de " inyección " en una base de datos en un intento de forzar el programa de consulta de base de datos para devolver un error y dar el inyector de alguna información acerca de tanto la base de datos y la información dentro de ella. Se puede realizar desde cualquier página web que actúa como un portal a una base de datos inseguro y no desinfectar sus consultas. Instrucciones
1

Asegúrese de especificar el tipo de entrada requerido al escribir el código de consulta SQL . La mayoría de los entornos de desarrollo permiten especificar " cadena" , "entero " o "date" . Por ejemplo, el URL

http://mysite.com/listauthordetails.aspx?user_id=1234

es interpretada por la base de datos como

SELECT 'nombre , apellidos FROM usuarios DONDE user_id = '1234 '

Esta consulta puede ser reescrita para

ID Dim como String = Request.QueryString ( "ID" )

cmd As new SqlCommand ( " SELECT user_id FROM usuarios WHERE user_id = @ user_id " )

Dim param = new SqlParameter ( " user_id " , SqlDbType.VarChar )

param.Value = ID

cmd. Parameters.Add ( param)

Este código impide que la información adicional se añade al final de la consulta SQL , y sólo pasa el resultado de la solicitud user_id .
2

Utilice el archivo. htaccess para bloquear las solicitudes ilegítimas antes de que pasen a la base de datos, utilizando el comando RewriteCond (). Por ejemplo , para bloquear un script tratando de modificar una variable de petición , utilice la línea " RewriteCond % { QUERY_STRING } _REQUEST ( =

Seguridad de Red
Cómo utilizar una autenticación de certificados de cliente con IIS 6.0
¿Cuál es mi Proxy Host
Cómo obtener una contraseña con una IP
Cómo habilitar el inicio de sesión único en Citrix
No se puede iniciar Windows Firewall
Ventajas y desventajas de un sistema de seguridad de la computadora
802,1 X Protocol Security
¿Necesita Stateful Packet Inspection Si utiliza un servidor de seguridad
Conocimientos Informáticos © http://www.ordenador.online