martes, 18 de marzo de 2014

Prevenir la inyección SQL con PHP


Bienvenid@s, a continuación podréis ver dos vídeos desde los cuales se muestras los ataques más comunes a través de la inyección SQL, el primero es el típico ataque a través de los campos de un formulario de login, esta inyección permite al atacante acceder al panel de administración sin haber ingresado las credenciales, sino insertando arbitrariamente código como el siguiente: ' OR '1'='1, suponiendo que entra en el panel de administración juzguen ustedes mismos lo que un infiltrado no con buenas intenciones podría provocar en el sistema.

Vídeo demostrativo ...

 

La otra inyección sql es tanto o más peligrosa que la primera, ya que el atacante podría obtener hasta la última gota de información de nuestras bases de datos, ir recorriendo tabla a tabla e ir obteniendo todos los registros de cada una de ellas. En el vídeo se muestra como un atacante a través de una herramienta como SQLMAP podría con tres simples pasos obtener todos los registros de los usuarios registrados en nuestra aplicación.

Vídeo demostrativo ...