5 de julio de 2006

Desarrollo Web: Por qué los proveedores de Hosting ayudan tanto a los hackers

Pues eso, estos días no puedo ni respirar del trabajo que tengo, pero voy a aprovechar para hablaros de uno de los temas más tragicómicos con los que me encuentro en mi día a día de desarrollador web.

¿Por qué razón todos los grandes proveedores de hosting cuando contratas una base de datos te dan sólo un usuario de escritura? Vale que cuando llamas y se lo pides te crean un usuario sólo de lectura sin problemas. Pero te toca llamar, y como no sepas del tema te dejan la puerta abierta.

Me explico, todo tiene que ver con el SQL-Injection, es una técnica de ataque que consiste en conseguir que tu script en ASP, PHP, JSP o en el lenguaje que sea ejecute sentencias de SQL del atacante.

¿Cómo lo hacen? Pues trucando el contenido de algún formulario, o alterando una cookie, o subiendo una imagen que realmente es un script para ejecutarla, etc... Hay muchos métodos. Un día lo explicaré con más detalle.

En fin, que si utilizas un usuario de lectura estás seguro ya que aunque consigan ejecutar instrucciones SQL como sólo pueden leer datos no podrán destrozar nada. Sin embargo con la puñetera manía de las empresas de Hosting de no crearte por defecto un usuario de lectura muchas webs quedan con el culo al aire sin que nadie se dé cuenta hasta que llega la desgracia.