Evitar SQL injection en ColdFusion.

Cuando se incorporan consultas a ColdFusion, sin etiquetas cfqueryparams, se debilita la seguridad del sistema haciéndolo vulnerable a ataques de SQL injection. Las etiquetas cfqueryparams previenen de ataques SQL injection porque sirven para:

  • Comprobar los tipos de datos que se incorporan a un parámetro.
  • Separar el código SQL de los parámetros introducidos.
  • Garantizar que los valores de un parámetro nunca se agreguen a una consulta SQL modificando la misma para realizar un ataque.

Con la herramienta qpScanner es posible explorar el código, en busca de consultas con variables que no estén dentro de una etiqueta cfqueryparam.

Entre las características de qpScanner destaca:

  • Encuentra todas las variables en consultas sin un cfqueryparam circundante.
  • Exhibe nombres de fichero, las líneas de código y el contenido de la pregunta para todos los riesgos potenciales.
  • Múltiples formatos de presentación de resultados (HTML, XML y WDDX).
  • Soporta: ColdFusion 8, ColdFusion MX7, BlueDragon 7 y Railo 3.

Más información y descarga de qpScanner:
http://qpscanner.riaforge.org/

Más información sobre cfqueryparams en ColdFusion:
http://www.moopoint.com/tutorials/queryparam_intro.html

2 comentarios en “Evitar SQL injection en ColdFusion.

  • el octubre 30, 2009 a las 7:40 pm
    Permalink

    Hola Daniel
    El principal consejo que te doy sobre Joomla es tenerlo actualizado. Y otra consideración muy importante no usar extensiones para Joomla de terceros si no es un sitio de confianza.
    Un saludo

    Respuesta
  • el noviembre 9, 2009 a las 6:43 pm
    Permalink

    Hola Daniel
    Puede publicar cualquier artículo de este blog solo tienes que incluir una referencia en el poniendo de donde lo sacaste. Le echare un vistazo al artículo
    Un saludo

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: