django
16-07-2008, 14:56
Hola buenas, tengo un problema bastante gordo y es que me han hackeado un portal con un montón de subwebs en asp y con BBDD SQL server. Lo que me hacen es regularmente inyectarme un script en los campos de las tablas de la BBDD, a veces en unas tablas, a veces en otras...
el script es del tipo <script src=http//www......
Como hay un monton de webs, concursos, promociones...Es un lio muy grande.
Estoy reforzando la seguridad para los campos de entrada haciendo una función q limpia los campos de palabras clave como:
"""","'","&","--","select","insert","update","delete","drop", " or ", "=", " union"
No se si será suficiente con eso o puedo tener un agujero muy grande.
La conexión la hago con un include general en el que además compruebo que el dominio es el mismo siempre.
Necesitaría algo de ayuda ya que podríamos perder clientes por esta causa y además poder quedarme sin curro pq soy el responsable...Yo me migraría todo a php q me parece más seguro pero eso ahora es casi imposible.
A ver si algún alma cándida me puede echar un cable, gracias.
el script es del tipo <script src=http//www......
Como hay un monton de webs, concursos, promociones...Es un lio muy grande.
Estoy reforzando la seguridad para los campos de entrada haciendo una función q limpia los campos de palabras clave como:
"""","'","&","--","select","insert","update","delete","drop", " or ", "=", " union"
No se si será suficiente con eso o puedo tener un agujero muy grande.
La conexión la hago con un include general en el que además compruebo que el dominio es el mismo siempre.
Necesitaría algo de ayuda ya que podríamos perder clientes por esta causa y además poder quedarme sin curro pq soy el responsable...Yo me migraría todo a php q me parece más seguro pero eso ahora es casi imposible.
A ver si algún alma cándida me puede echar un cable, gracias.