Evitar SQL injection en ColdFusion.

Comparte en redes sociales

Cuando se incorporan consultas a ColdFusion, sin etiquetas cfqueryparams, se debilita la seguridad del sistema haciéndolo vulnerable a ataques de SQL injection. Las etiquetas cfqueryparams previenen de ataques SQL injection porque sirven para:

  • Comprobar los tipos de datos que se incorporan a un parámetro.
  • Separar el código SQL de los parámetros introducidos.
  • Garantizar que los valores de un parámetro nunca se agreguen a una consulta SQL modificando la misma para realizar un ataque.

Con la herramienta qpScanner es posible explorar el código, en busca de consultas con variables que no estén dentro de una etiqueta cfqueryparam.

Entre las características de qpScanner destaca:

  • Encuentra todas las variables en consultas sin un cfqueryparam circundante.
  • Exhibe nombres de fichero, las líneas de código y el contenido de la pregunta para todos los riesgos potenciales.
  • Múltiples formatos de presentación de resultados (HTML, XML y WDDX).
  • Soporta: ColdFusion 8, ColdFusion MX7, BlueDragon 7 y Railo 3.

Más información y descarga de qpScanner:
http://qpscanner.riaforge.org/

Más información sobre cfqueryparams en ColdFusion:
http://www.moopoint.com/tutorials/queryparam_intro.html

2 pensamientos sobre “Evitar SQL injection en ColdFusion.

  1. Hola Daniel
    El principal consejo que te doy sobre Joomla es tenerlo actualizado. Y otra consideración muy importante no usar extensiones para Joomla de terceros si no es un sitio de confianza.
    Un saludo

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: