Monthly Archives: May 2011

SQL injection ¿que es y como evitarlo?

La inyección de SQL (o en inglés SQL injection) es una técnica de inyección de código que se aprovecha de una vulnerabilidad de seguridad en una aplicación o en una base de datos.

La vulnerabilidad está presente cuando en la parte del código SQL de una aplicación se produce el filtrado incorrecto de las variables. De este modo la inyección de SQL se produce cuando se inserta un código SQL (malicioso) dentro del código SQL  de la aplicación con el fin de alterar la correcta ejecución de la consulta. Esto provoca que mediante la ejecución de este código malicioso se pueda obtener, modificar o eliminar cualquier información de la base de datos de la aplicación (incluidos nombres de usuario, contraseñas, etc).

Este sería un ejemplo básico de una aplicación con una vulnerabilidad:


Evitar caracteres peligrosos:

Una forma de evitar inyecciones es evitar caracteres peligrosos ( barra invertida, punto y coma, apóstrofes). En el lenguaje de programación PHP es habitual evitar esto utilizando la función mysql_real_escape_string antes de enviar la consulta a SQL.

$Uname = mysql_real_escape_string($Uname);
$Pword = mysql_real_escape_string($Pword);
$query = “SELECT * FROM Users where UserName=’$Uname’ and Password=’$Pword’”;
mysql_query($query);


Consultas parametrizadas:

Una consulta parametrizada utiliza marcadores de posición de entrada y los valores de los parámetros se suministran en tiempo de ejecución.

$params = array($Uname, $Pword);
$sql = ‘INSERT INTO Users (UserName, Password) VALUES (?, ?)’;
$query = sqlsrv_query($connection, $sql, $params);

Existe una extensa documentación en Internet para protegerse contra las inyecciones de SQL, en este breve repaso hemos querido ayudar a entender un poco mejor qué es y cómo evitarlo.

Evalice presenta nuevos servicios y sitio web

Ayer presentamos el nuevo sitio web de Evalice y sus servicios, entre ellas están estas novedades que queremos darte a conocer.

 

Nuevos servicios y sitio web

Completamos nuestra gama de servicios de hosting compartido y registro de dominios, con nuevas soluciones de reseller hosting, servidores virtuales y servidores dedicados.

Todos los servicios incluyen sin coste adicional el panel de control WHM / cPanel y se encuentran completamente administrados, de modo que Evalice se encargará de todos los aspectos en la gestión del servidor, monitorización, seguridad y actualizaciones.

Mejoras en los servicios

Nuevo sistema de pago automatizado para tarjetas de crédito, todavía está en fase de pruebas y muy pronto lo disfrutarán todos los clientes.

En los últimos 10 meses el 80% de consultas técnicas han sido resueltas en un primer contacto y con un tiempo de respuesta en horario laboral inferior a 10 minutos. De cara a los próximos meses de 2011, estamos trabajando en mejorar la velocidad de respuesta en horario nocturno tanto para consultas urgentes como generales.

Sección de entrevistas y opiniones

En la nueva web que hemos lanzado, disponemos de una sección de entrevistas en la que queremos dar a conocer tu sitio web o proyecto, así como conocer tu opinión sobre nosotros y los servicios que te ofrecemos. Nos gustaría que participes, si lo deseas puedes escribirnos desde el área de contacto.

Twitter y Facebook

Hemos tardado, pero ya estamos presentes en estas dos redes sociales para compartir un poco mejor lo que hacemos. Te dejamos los enlaces si quieres seguirnos o apoyarnos.

http://twitter.com/#!/evalice_com

http://www.facebook.com/pages/Evalice-Web-Hosting-Profesional/

 

Si tienes alguna duda o necesitas más información, puedes contactar con nosotros respondiendo a este email o también desde Twitter.

Nuevo intento de fraude en la renovación de dominios

Desde hace varios años, se han detectado empresas fraudulentas que envían a través de correo postal una carta en la que nos informan que nuestro dominio va a expirar y debe ser renovado. Estas cartas son un engaño especialmente peligroso y queremos explicar en que consiste para evitar caer en él.

En los últimos días hemos vuelto a recibir cartas en la que una empresa que se hace llamar “Domain Renewal Group” nos invita a renovar nuestro dominio, en esta carta incluye un listado con los precios que le costará renovar su dominio durante 1, 2 o 5 años y un campo en el que introducir los datos de su tarjeta de crédito.

Este tipo de correos son fraudulentos y debemos ignorarlos, las renovaciones de dominios siempre se realizarán a través de la empresa en la que ha sido registrado. En Evalice su dominio será renovado a través del sitio web www.evalice.com y sólo le enviaremos avisos mediante email desde nuestro dominio.

La finalidad de este tipo de fraude, consiste en forzar el cambio de empresa registradora sin la autorización del cliente y secuestrar su dominio para que deba mantenerlo registrado a precios abusivos con la nueva empresa.

Esta práctica no es nueva, en NIC.ES están advirtiendo de prácticas similares desde hace meses. Por lo tanto si recibe un correo bajo el nombre de esta empresa o cualquier otra, debe ignorarlo.

El modo que siguen esas empresas para obtener su dirección postal, es a través del WHOIS público que poseen los dominios. En él figuran los datos que usted nos ha indicado durante el proceso de registro, recuerde que puede modificarlos si lo desea en el área de clientes de Evalice, dentro de la pestaña “Mis dominios”.

Si necesita más información, no dude en contactar con nosotros.