Buscador

Loading

martes, 24 de abril de 2012

.htaccess para prevenir ataques SQL INJECTION



un gran problema de seguridad son los ataques de inyección sql, una mala programación pone en riesgo toda nuestra aplicación o sitio web


Hace poco me encontre este .htaccess que en lo personal se me hace completo


RewriteEngine On


Options +FollowSymLinks
ServerSignature Off


RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]


RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]


RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]


RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
#RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC]


RewriteRule ^(.*)$ hack.cfm



referencia link


2 comentarios:

  1. Exelente script! acabo de cargarlo en la web y funciono perfecto!!

    ResponderEliminar
  2. Hola amigo, deseo saber como puede ingresar estos datos:
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^/?(.*) https://www.dominio.net/$1 [R,L]
    al .htaccess para que funcione sin problemas?

    ResponderEliminar

Tutorial como crear un CFDi 3.3 en 2 minutos con PHP

Tutorial como crear un CFDi en 2 minutos con PHP Les presento este video que muestra como generar un CFDi en pocos minutos,  así como ...