Preguntas con etiqueta 'sql-injection'

preguntas con etiqueta
3
respuestas

¿La inyección SQL es un ataque del lado del cliente o del servidor?

¿Qué tipo de ataque es la inyección SQL? Estoy confundido porque este tipo de ataque se realiza a través del lado del cliente. Sin embargo, el objetivo de los atacantes es una base de datos que está "detrás" de un servidor. La mayoría de los ata...
hecha 12.10.2018 - 19:08
4
respuestas

Riesgos de seguridad distintos a los [cerrado]

Estoy trabajando en el sitio web de ASP.NET core MVC, y no sé si me estoy perdiendo algún riesgo de seguridad que deba vigilar (aparte de los lógicos) Aquí hay una lista de lo que he estudiado y lo que he hecho para protegerlo: Hombre en...
hecha 17.05.2017 - 19:14
1
respuesta

¿Se puede hackear el sitio web mediante la inyección de iframe?

Mi sitio web ha sido hackeado. Estoy observando cómo el hacker accede a mi sitio. Aunque he estado usando bindparam para evitar sql injection y direct access restriction para backdoor attack , los hackers cambian mi pá...
hecha 14.07.2018 - 19:22
1
respuesta

Acerca de SQL Injection Mysql

Estoy intentando probar la inyección de SQL en un sitio (PHP, usa la base de datos MySQL). Cuando coloco un apóstrofe en el campo de nombre de usuario y dejo el cuadro de contraseña en blanco, luego de enviarlo, el formulario se vuelve a cargar...
hecha 05.07.2018 - 11:37
1
respuesta

La inyección de SQL no funciona con mysqli

Estoy creando un sitio web simple y burlón que demuestra la inyección de SQL. Se parece a esto: Elback-endestáescritoenPHP.<?php$query=$_GET['query'];$min_length=3;if(strlen($query)>=$min_length){$raw_results=mysqli_query($con,"SELECT...
hecha 06.04.2017 - 04:16
2
respuestas

Vega muestra vulnerabilidad de inyección SQL pero sqlmap dice que no

Estoy probando una aplicación. La URL es básicamente app.php?app=appname . Si app existe, da un resultado correcto, pero si no existe, obtenemos un error interno del servidor 500. Vega lo detecta como una vulnerabilidad de inyecc...
hecha 06.09.2016 - 17:01
2
respuestas

¿Cómo proteger los datos de los usuarios en un sitio multiusuario?

Estoy trabajando en un sistema en el que las personas pueden hacer que sus cuentas se almacenen en una base de datos como ID (que será un incremento automático), nombre, apellido, nombre de usuario, etc. Ahora estoy al tanto de las inyecciones...
hecha 25.02.2016 - 04:07
2
respuestas

Ataque de inyección SQL - Defensas de permisos

Los ataques de inyección de SQL funcionan cuando el atacante coloca un SQL válido en el texto que se remonta de la página al servidor; algo como "Eliminar * de tblAccounts donde 1 = 1" Lo que no entiendo es por qué esto no se puede eliminar al d...
hecha 27.05.2015 - 23:23
3
respuestas

¿Debo preocuparme por la inyección de SQL para aplicaciones web internas?

Últimamente he estado trabajando mucho en la redacción de informes generando formularios en el trabajo. A veces, los informes requieren una entrada proporcionada por una lista desplegable y, a veces, requieren que los datos se ingresen por clave...
hecha 26.06.2015 - 21:24
1
respuesta

¿Es peligroso dejar que el usuario ingrese en una declaración LIKE sql?

Suponiendo que quiero implementar un motor de búsqueda, es peligroso dejar que el usuario ingrese a LIKE . Por ejemplo: SELECT user FROM table WHERE user LIKE "[user input]" En este caso, asumo que el usuario podrá escribir ca...
hecha 03.08.2016 - 00:35