Injeccion SQL?

Hola Antonio, revisate este link para ver si te ayuda!

http://www.portalsql.com/inyeccion.asp?articulo4


-
Microsoft M.V.P en SQLServer
SQLTotal Consulting - Servicios en SQLServer
Email:
"Antonio Ortiz" escribió en el mensaje
news:
Mostrar la cita

Que me han hackeado un sitio, y no se exactamente como, les cuento un
poco

Tengo un portal para empresas, donde se registran y colocan sus datos que
se muestran en un directorio, el unico lugar donde meten datos es al
iniciar sesion con su nombre de usuario y contraseña y donde capturan sus
datos.

Un dia cualquiera los datos de una empresa estan cambiados con un mensaje
de un sitio hacker, los datos de esa empresa son precisamente los mios,
capturados como ejemplo.

Me podrian decir como evitar esto?, que medidas puedo tomar?,

pueden injectar codigo sql por el nombre del usuario (o password) para ?
, el codigo que valida esto es un simple 'select usuario, pass from
usuarios where nombre=varnombre and pass=varpass' (similar)


gracias


Antonio Ortiz
asesor en sistemas
ant(a)aortiz.net
www.aortiz.net
www.progvisual.com

ya veo porque mi colaborador, inmediatamente sugirio validar:

Rs.Open "select usuario, pass from usuarios where (nombre = ' " &
varnombre & " ') And (pass = ' " & varpass " ') ", Conexion
'La separacion de los apostrofes y las comillas es por legibilidad
If ( Not Recorset.EOF ) Then
If( (Recordset!CampoNombre=VarNombre) and
(Recordset!CampoNombre=VarPass) ) Then '*** nueva validacion***
'Usuario valido
Else
'Usuario invalido
End If
End If

que opinas?

Antonio Ortiz
asesor en sistemas
ant(a)aortiz.net
www.aortiz.net
www.progvisual.com




"Victor Koch" <v i c t o r
(arroba)correo(punto)waldbott(punto)com(punto)ar> escribió en el mensaje
news:%
Mostrar la cita

Suponete que el operador te ingresa en la password esto

1 OR 1=1

¿ Como quedaria armada tu SQL ?

'select usuario, pass from usuarios where nombre=varnombre and pass=1 OR
1=1'


Un saludo, Víctor Koch.


"Antonio Ortiz" escribió en el mensaje
news:
Mostrar la cita

Que me han hackeado un sitio, y no se exactamente como, les cuento un
poco

Tengo un portal para empresas, donde se registran y colocan sus datos
que

se
Mostrar la cita

muestran en un directorio, el unico lugar donde meten datos es al
iniciar
sesion con su nombre de usuario y contraseña y donde capturan sus datos.

Un dia cualquiera los datos de una empresa estan cambiados con un
mensaje

de
Mostrar la cita

un sitio hacker, los datos de esa empresa son precisamente los mios,
capturados como ejemplo.

Me podrian decir como evitar esto?, que medidas puedo tomar?,

pueden injectar codigo sql por el nombre del usuario (o password) para ?
,
el codigo que valida esto es un simple 'select usuario, pass from
usuarios
where nombre=varnombre and pass=varpass' (similar)


gracias


Antonio Ortiz
asesor en sistemas
ant(a)aortiz.net
www.aortiz.net
www.progvisual.com

ya veo porque mi colaborador, inmediatamente sugirio validar:

Rs.Open "select usuario, pass from usuarios where (nombre = ' " & varnombre
& " ') And (pass = ' " & varpass " ') ", Conexion
'La separacion de los apostrofes y las comillas es por legibilidad
If ( Not Recorset.EOF ) Then
If( (Recordset!CampoNombre=VarNombre) and
(Recordset!CampoNombre=VarPass) ) Then '*** nueva validacion***
'Usuario valido
Else
'Usuario invalido
End If
End If

que opinas?

Antonio Ortiz
asesor en sistemas
ant(a)aortiz.net
www.aortiz.net
www.progvisual.com




"Victor Koch" <v i c t o r (arroba)correo(punto)waldbott(punto)com(punto)ar>
escribió en el mensaje news:%
> Suponete que el operador te ingresa en la password esto
>
> 1 OR 1=1
>
> ¿ Como quedaria armada tu SQL ?
>
> 'select usuario, pass from usuarios where nombre=varnombre and pass=1 OR
> 1=1'
>
>
> Un saludo, Víctor Koch.
>
>
> "Antonio Ortiz" escribió en el mensaje
> news:
>>
>> Que me han hackeado un sitio, y no se exactamente como, les cuento un
>> poco
>>
>> Tengo un portal para empresas, donde se registran y colocan sus datos que
> se
>> muestran en un directorio, el unico lugar donde meten datos es al iniciar
>> sesion con su nombre de usuario y contraseña y donde capturan sus datos.
>>
>> Un dia cualquiera los datos de una empresa estan cambiados con un mensaje
> de
>> un sitio hacker, los datos de esa empresa son precisamente los mios,
>> capturados como ejemplo.
>>
>> Me podrian decir como evitar esto?, que medidas puedo tomar?,
>>
>> pueden injectar codigo sql por el nombre del usuario (o password) para ?
>> ,
>> el codigo que valida esto es un simple 'select usuario, pass from
>> usuarios
>> where nombre=varnombre and pass=varpass' (similar)
>>
>>
>> gracias
>>
>>
>> Antonio Ortiz
>> asesor en sistemas
>> ant(a)aortiz.net
>> www.aortiz.net
>> www.progvisual.com
>>
>>
>
>

Hola Antonio, revisate este link para ver si te ayuda!

http://www.portalsql.com/inyeccion.asp?articulo4


-
Microsoft M.V.P en SQLServer
SQLTotal Consulting - Servicios en SQLServer
Email:
"Antonio Ortiz" escribió en el mensaje
news:
Mostrar la cita

Que me han hackeado un sitio, y no se exactamente como, les cuento un
poco

Tengo un portal para empresas, donde se registran y colocan sus datos que
se muestran en un directorio, el unico lugar donde meten datos es al
iniciar sesion con su nombre de usuario y contraseña y donde capturan sus
datos.

Un dia cualquiera los datos de una empresa estan cambiados con un mensaje
de un sitio hacker, los datos de esa empresa son precisamente los mios,
capturados como ejemplo.

Me podrian decir como evitar esto?, que medidas puedo tomar?,

pueden injectar codigo sql por el nombre del usuario (o password) para ?
, el codigo que valida esto es un simple 'select usuario, pass from
usuarios where nombre=varnombre and pass=varpass' (similar)


gracias


Antonio Ortiz
asesor en sistemas
ant(a)aortiz.net
www.aortiz.net
www.progvisual.com

ya veo porque mi colaborador, inmediatamente sugirio validar:

Rs.Open "select usuario, pass from usuarios where (nombre = ' " &
varnombre & " ') And (pass = ' " & varpass " ') ", Conexion
'La separacion de los apostrofes y las comillas es por legibilidad
If ( Not Recorset.EOF ) Then
If( (Recordset!CampoNombre=VarNombre) and
(Recordset!CampoNombre=VarPass) ) Then '*** nueva validacion***
'Usuario valido
Else
'Usuario invalido
End If
End If

que opinas?

Antonio Ortiz
asesor en sistemas
ant(a)aortiz.net
www.aortiz.net
www.progvisual.com




"Victor Koch" <v i c t o r
(arroba)correo(punto)waldbott(punto)com(punto)ar> escribió en el mensaje
news:%
Mostrar la cita

Suponete que el operador te ingresa en la password esto

1 OR 1=1

¿ Como quedaria armada tu SQL ?

'select usuario, pass from usuarios where nombre=varnombre and pass=1 OR
1=1'


Un saludo, Víctor Koch.


"Antonio Ortiz" escribió en el mensaje
news:
Mostrar la cita

Que me han hackeado un sitio, y no se exactamente como, les cuento un
poco

Tengo un portal para empresas, donde se registran y colocan sus datos
que

se
Mostrar la cita

muestran en un directorio, el unico lugar donde meten datos es al
iniciar
sesion con su nombre de usuario y contraseña y donde capturan sus datos.

Un dia cualquiera los datos de una empresa estan cambiados con un
mensaje

de
Mostrar la cita

un sitio hacker, los datos de esa empresa son precisamente los mios,
capturados como ejemplo.

Me podrian decir como evitar esto?, que medidas puedo tomar?,

pueden injectar codigo sql por el nombre del usuario (o password) para ?
,
el codigo que valida esto es un simple 'select usuario, pass from
usuarios
where nombre=varnombre and pass=varpass' (similar)


gracias


Antonio Ortiz
asesor en sistemas
ant(a)aortiz.net
www.aortiz.net
www.progvisual.com