Teléfono y Whatsapp: 675 18 68 80

Prevenir ataque por inyección SQL

Si decidimos programar nuestra web ‘a pelo’, es decir, sin usar ningún CMS o framework, aparte de las ventajas que nos pueda traer, hay una ventaja que no tiene que pasar inadvertida: la seguridad de la aplicación. Si tenemos conexión a bases de datos mysql, debemos asegurarnos de tener las contraseñas de los usuarios cifradas con SHA1 o algún algoritmo similar, para que en caso de que nos roben la contraseña, no sepan cual es.

Pero siempre que sea posible intentaremos eviar esos robos.

¿Cómo sonsiguen entrar en nuestra BBDD?

uno de los agujeros de seguridad más comunes, se llama Inyección SQL y consiste en insertar en los formularios web o los parametros http consultas SQL de tal manera que si no tenemos blindada lo suficientemente la consulta interna la la BBDD, el atacante podra obtener nuestros datos y por ente eliminar tablas, o sacar todos los datos que desee.

¿Cómo prevenir este ataque?

pues aprendiendo a meter el código necesario; para ello hay mucha información en internet. Y la segunda es que vosotros mismos probeis insertando cadenas tipicas de inyección SQL y viendo si alguna vulnera la seguridad.

Pero resulta que hay una herramienta que hace esto por nosotros con las cadenas atacantes más usuales, se trata de un plugin para mozilla firefox llamado “SQL inject me”, que cuando estemos ante un formulario damos boton derecho en la pagina y nos aprecerá la opción de realizar pruebas con ello.

Recomiendo utilizarlo, para descargarlo: aqui.

Saludos.