Comunidad Buffon

Bienvenidos a la Comunidad Buffon
 
ÍndicePortalFAQBuscarMiembrosGrupos de UsuariosRegistrarseConectarse
Mejores posteadores
Buffon (46)
 
yona419 (1)
 
Buscar
 
 

Resultados por:
 
Rechercher Búsqueda avanzada
Diciembre 2017
LunMarMiérJueVieSábDom
    123
45678910
11121314151617
18192021222324
25262728293031
CalendarioCalendario
Últimos temas
» Anti atakes dos para web [guia + aporte]
Miér Ene 18, 2012 4:57 pm por Invitado

» Evento x 1 Puesto de MODERADOR!
Lun Ago 22, 2011 7:17 pm por Buffon

» [Skin] Set Dragon King Reemplaza Al Bronze
Lun Ago 22, 2011 3:45 pm por Invitado

» Mu-Fogon Server Editablee Entren Yaaaaaa!
Lun Ago 22, 2011 6:21 am por yona419

» Crear Servidor [99B] Facilisimo!
Lun Ago 22, 2011 4:22 am por Buffon

» Proximamente La Comunidad Buffon Tendra Su Server Mu 99B
Lun Ago 22, 2011 4:11 am por Buffon

» Mu-NunChaku Exp: 300 Drop:70 Server Slow
Lun Ago 22, 2011 4:07 am por Buffon

»  Mu-NexuS Versión del Server: 99b+
Lun Ago 22, 2011 4:05 am por Buffon

» MuFrutanga 99B Sin Bug Server FAST!
Lun Ago 22, 2011 4:01 am por Buffon

Compañeros

Crear foro



Foro
Palabras claves

Comparte | 
 

 COMO EVITAR EL SQL INJECTION

Ver el tema anterior Ver el tema siguiente Ir abajo 
AutorMensaje
Buffon
Admin


Mensajes : 46
Puntos : 155
Reputación : 0
Fecha de inscripción : 21/08/2011

MensajeTema: COMO EVITAR EL SQL INJECTION   Lun Ago 22, 2011 2:10 am

Primera Parte: COMO EVITAR EL SQL INJECTION

bueno, he aqui una pequeña solucion al sql injection temporal, chequen si les es efectivo:
//Creditos : FCV2005

Cita:


<?php
$ip = $_SERVER['REMOTE_ADDR'];
$time = date("l dS of F Y h:i:s A");
$script = $_SERVER[PATH_TRANSLATED];
$fp = fopen ("C:/MuServer/[WEB]SQL_Injection.txt", "a+"); //aqui se creara un log del ataque y el ip del atacante, puedes cambiar la ubicacion del archivo.

$sql_inject_1 = array(";","'","%",'"'); #Whoth need replace
$sql_inject_2 = array("", "","","&quot;"); #To wont replace
$GET_KEY = array_keys($_GET); #array keys from $_GET
$POST_KEY = array_keys($_POST); #array keys from $_POST
$COOKIE_KEY = array_keys($_COOKIE); #array keys from $_COOKIE
/*begin clear $_GET */
for($i=0;$i<count($GET_KEY);$i++)
{
$real_get[$i] = $_GET[$GET_KEY[$i]];
$_GET[$GET_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_GET[$GET_KEY[$i]]));
if($real_get[$i] != $_GET[$GET_KEY[$i]])
{
fwrite ($fp, "IP: $ip\r\n");
fwrite ($fp, "Method: GET\r\n");
fwrite ($fp, "Value: $real_get[$i]\r\n");
fwrite ($fp, "Script: $script\r\n");
fwrite ($fp, "Time: $time\r\n");
fwrite ($fp, "==================================\r\n");
}
}
/*end clear $_GET */
/*begin clear $_POST */
for($i=0;$i<count($POST_KEY);$i++)
{
$real_post[$i] = $_POST[$POST_KEY[$i]];
$_POST[$POST_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_POST[$POST_KEY[$i]]));
if($real_post[$i] != $_POST[$POST_KEY[$i]])
{
fwrite ($fp, "IP: $ip\r\n");
fwrite ($fp, "Method: POST\r\n");
fwrite ($fp, "Value: $real_post[$i]\r\n");
fwrite ($fp, "Script: $script\r\n");
fwrite ($fp, "Time: $time\r\n");
fwrite ($fp, "==================================\r\n");
}
}
/*end clear $_POST */
/*begin clear $_COOKIE */
for($i=0;$i<count($COOKIE_KEY);$i++)
{
$real_cookie[$i] = $_COOKIE[$COOKIE_KEY[$i]];
$_COOKIE[$COOKIE_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_COOKIE[$COOKIE_KEY[$i]]));
if($real_cookie[$i] != $_COOKIE[$COOKIE_KEY[$i]])
{
fwrite ($fp, "IP: $ip\r\n");
fwrite ($fp, "Method: COOKIE\r\n");
fwrite ($fp, "Value: $real_cookie[$i]\r\n");
fwrite ($fp, "Script: $script\r\n");
fwrite ($fp, "Time: $time\r\n");
fwrite ($fp, "==================================\r\n");
}
}

/*end clear $_COOKIE */
fclose ($fp);
?>
......................--------------....................------------------................................


Esto va en el config.php de la web antes del codigo de la web, cualquier cosa, prueben el script que aun no esta 100% terminado.
los lammers se creen hackers y empiezan a borrar o alterar cosas a su gusto.
Tambien existe un pequeña y molestosa inyeccion que es apagar el sql ('';shu---wn;--).

La mayoria de veces las inyecciones son puestas en el registro o en la recuperacion de clave, en la casilla del email.

Una recomendacion que todos dicen es usar la muweb 0.3 o la muweb 0.9 con el xampp, bueno, aunque tambien poniendo el script ya mencionado puede ayudar a evitar esto de forma temporal, ya que los hackers si sabran como, pero no los lammers que esos si hay bastantes.

Saludos denuevo a toda la comunidad
Volver arriba Ir abajo
Ver perfil de usuario http://buffon.activoforo.com
 
COMO EVITAR EL SQL INJECTION
Ver el tema anterior Ver el tema siguiente Volver arriba 
Página 1 de 1.
 Temas similares
-
» ¿¿como evitar erecciones en momentos inoportunos??
» Como jode que se desconecte el servidor
» Como se hacen las clausulas y como se paga una clausula.
» Mucha gentuza en MW3
» ayuda por favor

Permisos de este foro:No puedes responder a temas en este foro.
Comunidad Buffon :: Seguridad!-
Cambiar a: