Preguntas con etiqueta 'mysql'

5
respuestas

Seguridad de la contraseña en las bases de datos: ¿sigue siendo la mejor práctica hoy en día? [duplicar]

Hay un montón de excelentes publicaciones sobre seguridad de contraseñas en bases de datos de desbordamiento de pila y en otros sitios y, como soy completamente nuevo en esto, pasé algunas horas intentando aprender más sobre esto en los últi...
hecha 29.02.2012 - 10:25
6
respuestas

¿Debo ocultar las claves primarias (ID) de la base de datos en el extremo frontal de la aplicación?

Estoy trabajando en una aplicación que le permite a un moderador editar la información del usuario. Así que, en este momento, tengo URL como http://www.example.com/user/1/edit http://www.example.com/user/2/edit Estoy un poco preocupado aquí...
hecha 22.04.2014 - 15:31
6
respuestas

¿Es posible la inyección de SQL con LIMIT?

Un amigo mío construyó una aplicación web que estoy probando por diversión. Noté que le permite a un usuario establecer el límite de una consulta determinada, y ese límite no está saneado. Por ejemplo, puedo elegir cualquier número o cadena q...
hecha 23.12.2014 - 12:04
4
respuestas

convencer a la compañía de no almacenar números de tarjetas de crédito en nuestra aplicación web

La empresa para la que trabajo necesita un sistema para realizar cargos mensuales de tarjeta de crédito a las cuentas de los clientes. Los clientes podrán actualizar la información de su tarjeta de crédito desde una interfaz en línea escrita en...
hecha 14.08.2012 - 22:40
11
respuestas

¿Cómo limitar el impacto y reducir el riesgo de inyección SQL para el sitio web existente?

Nuestro sitio web es 100% basado en API (con un cliente SPA). Recientemente, un hacker logró obtener la contraseña de nuestro administrador (con hash con SHA-256) a través de la inyección de SQL (y pwd de craqueo) de esta manera: https://examp...
hecha 20.06.2018 - 21:41
1
respuesta

¿Por qué a veces deberíamos usar - + en lugar de - en la inyección de SQL para comentar el resto de la consulta?

Encontré algunos sitios web que cuando usé -- para comentar el resto de la consulta no funcionó, pero cuando probé --+ funcionó. En la documentación oficial de MySQL no existe tal cosa como --+ y solo tenemos --...
hecha 22.10.2018 - 17:42
2
respuestas

MySQL Server Hardening

Siguiendo el tema del endurecimiento ... ¿Cuáles son algunas de las mejores prácticas, recomendaciones, lecturas necesarias para proteger MySQL?     
hecha 14.12.2010 - 14:57
1
respuesta

Comprensión de la carga útil de inyección SQL

Mi servidor se vio afectado por la siguiente carga útil de inyección SQL: - ((/*!12345sELecT*/(@)from(/*!12345sELecT*/(@:=0x00),(/*!12345sELecT*/(@)from('InFoRMAtiON_sCHeMa'.'ColUMNs')where('TAblE_sCHemA'=DatAbAsE/*data*/())and(@)in(@:=CoNCat(...
hecha 24.07.2017 - 08:58
2
respuestas

Protección de inyección SQL de segundo orden

Las inyecciones SQL normales no son un problema ya que siempre uso declaraciones preparadas, pero cómo protegerme de inyecciones SQL de segundo orden ?     
hecha 28.12.2016 - 08:53
4
respuestas

¿Es verdadero el "¿Por qué debería evitar AES en MySQL?"

De un artículo de la revista Smashing 2012 Se hace una declaración bastante audaz para evitar AES en MySQL. O como dicen "¿Por qué debes evitar AES en MySQL?". Sin embargo, si busca el cifrado de SQL, a menudo encuentra el AES_ENCRYPT d...
hecha 21.11.2013 - 11:30