Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
[Pregunta] Intento de SQL Injection, ¿estoy seguro? | Log in/Crear cuenta | Top | 21 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Re:Tiene pinta de que no

    (Puntos:1)
    por monster (49083) el Lunes, 12 Marzo de 2012, 17:10h (#1304049)
    ( Última bitácora: Miércoles, 05 Marzo de 2014, 08:44h )
    No me refería a que sea más seguro frente a inyección de código, sino a que es más seguro respecto a filtración de datos.

    Es decir, si utilizas parámetros con POST, los parámetros concretos de cada instancia se quedan ahí salvo que tengas el nivel de log al máximo. Si utilizas GET, toda la ristra con los datos se va al log del servidor web que utilices, y lo hace en claro. Imagínate que risas si es una web que trate datos especialmente sensibles, por ejemplo.

    Además, hacer satisfactoriamente una inyección de código se hace más complejo que un simple 'wget http ://direcciondelservidor.com/index.php?param1=1;UPD ATE syspasswords SET passwd=\'haxx0r\' WHERE user=\'admin\';'. Puede hacerse, desde luego, pero es más complejo.

    Lo más triste es precisamente eso, que a nivel práctico el usar GET o POST se diferencia simplemente en a qué array accedes para buscar los valores.
    [ Padre ]