RibosoMatic Blog

SQL Injection (esp. Inyección SQL) se define como:

[...] una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro. [...] - Wikipedia.

Pueden seguir leyendo en Wikipedia donde se explica detalladamente, incluso con ejemplos. Pero agrego mi aporte con estos ejemplos:

Una consulta vulnerable:

 
$query = "SELECT * FROM libros WHERE autor='$autor_nombre'";

mysql_query($query);

Usando mysql_escape_string para manejar como texto las comillas, y además sprintf para dar formato a la cadena.

 
$query = sprintf("SELECT * FROM libros WHERE autor='%s'",

mysql_real_escape_string($autor_nombre));

mysql_query($query);

Ahora si nuestra consulta trabaja con instrucciones como: LIKE, GRANT ó REVOKE. Esta es una forma más segura:

 
$query = sprintf("SELECT * FROM libros WHERE autor='%s'",

addcslashes(mysql_real_escape_string($autor_nombre),'%_'));

mysql_query($query);

addcslashes muestra una barra invertida antes de las caracteres definidos en el segundo parametro de esta función. 

Los spammers llevan a muchos desarrolladores a tomar medidas de seguridad para sus aplicaciones web por lo que un buen captcha es siempre útil (aunque no lo definitivo para acabar con el spam). Pero no vayamos al extremo, como podrá apreciar en estos captchas:

A las justas sé 2x1=oferta... 

Yo no entiendo eso! pero creo que un ciego si... 

Escribiría algo si no fuera por ese protector de pantalla... 

Esto de los símbolos lo dejo a los pequeños... 

Ver más captchas

En realidad no me había dado cuenta de esto, pero el buscador de Google mantiene un lucha por combatir el malware en los navegadores web. Ya que muchos sitios web abusan de los bugs en la seguridad de algunos navegadores web, Google esta tomando medidas para proteger a los usuarios. Aquí un ejemplo de ello. En el resultado de una búsqueda, en la parte inferior del título de un sitio web, si este contiene malware (software malicioso: programa o archivo), aparecerá la siguiente advertencia: "Este sitio puede dañar tu equipo".

Si pulsamos en el enlace de la advertencia , Google nos dará la razón de esta. Y si pulsamos en el enlace del sitio web nos mostrará esta grande advertencia en el navegador.

Es un método eficaz para advertir a la mayoría de usuarios de algunos sitios web "malvados". Por supuesto, en el caso de ese sitio web que tomamos por ejemplo, se puede acceder a el de todas formas, pero el usuario esta advertido. Si haces compras o transacciones bancarias por internet  ¿te atreverías a navegar por sitios con malware? ... yo creo que no.

Spy Monitor es un software espía que registra todos los mensajes de nuestras conversaciones en el chat. Una vez instalado, se ejecuta en modo invisible. Perfecto para supervisar empleados, niños, igualmente para investigar redes de criminales y depravados (que no faltan). Spy Monitor esta disponible para los siguiente clientes de mensajería: MSN, ICQ, Yahoo! Messenger y AIM.

Esta aplicación oculta tus directorios de forma sencilla. A diferencia de la opción de Windows (Explorador -> Herramientas -> Opciones de carpeta -> Ver -> No mostrar archivos ni carpetas ocultos), la cual no proporciona un ocultado real, Free Hide Folder realmente las oculta, las hace invisible.

La configuración es fácil. Después de instalar, al iniciar por primera vez, se te pedirá escribir una contraseña, esta te permitirá acceder al programa luego. Una vez dentro de la ventana del programa presionamos Add para agregar un directorio a ocultar y listo! Podemos verificar en el Explorador de Windows. El programa también da la opción de mostrar u ocultar, asignar una contraseña ó realizar una copia de seguridad al directorio seleccionado.

• Plataforma: Windows 9x/Me/NT/2000/XP/2003
• Tamaño: 740 KB
• Licencia: Freeware
• Enlace | Información general, Descarga

Seguramente lo hemos visto ya, se trata de malware que se disfrasa tras un correo electrónico invitandonos a descargar Internet Explorer 7 Beta 2. Según los expertos de momentos no ha producido grandes daños.

El correo incluye una imagén muy convincente, estilo Microsoft en azul. El virus se descarga cuando la víctima cliquea el enlace, mas no el del fichero adjunto (ya que aparentemente trae un archivo adjunto). Tiene como asunto "Internet Explorer 7 Downloads" y como emisor: admin@microsoft.com. El supuesto ejecutable se llama IE 7.exe, pero el nombre del virus es Virus.Win32.Grum.A.

El virus esta siendo analizado, pero de momento se cree que se difunde mediante mecanismo de autoenvio a los contactos del usuario afectado. Una vez instalado este virus empieza a descargar ficheros adicionales desde Internet, incluso puede descargar software capaz de registrar toda actividad del usuario, incluido el teclado.

Así que mucho cuidado! Sobre todo los que realizamos actividades importantes a través de internet: compras con tarjeta, cuentas de bancos, etc. Si no queremos que toda información de lo que hacemos lo tengan terceros tengamos mucho cuidado al revisar nuestro correo electrónico.