Como lo hacen !!!

Tengo un sitio en PHP que cada tanto es hackeado.

Lo que no entiendo es como hacen para grabar información en la base de datos. Tengo entendido que se valen de los campos de textos para pegar código, pero como puedo evitarlo ?, porque si les quito los tags al campo de texto, antes de grabarlo en la tabla de la base de datos, estoy perjudicando a mi cliente, que quiere tener la posibilidad de introducir un texto donde pueda incluir un link, por ejemplo. Si le quito los tags, no hay link.

Otra cosa que he notado es que la introducción de código a través del formulario la están haciendo en el módulo de administración del sitio y no en la web pública, por lo que entiendo han obtenido la clave de acceso.

¿Me pueden orientar un poco o decirme dónde puedo leer sobre este tema?

Muchas gracias.

De lo poco que comentas se puede deducir que tienes una parte de la web que solo es accesible mediante contraseña. En ese lugar es posible enviar al servidor desde el cliente texto que resulta ser código HTML. ¿Hasta acá vamos bien?.

A la espera de tu respuesta, lo primero que se me ocurre es que implementes un mecanismo de bitácora de cada usuario loggeado guardando por cada acción durante la sesión el nombre de usuario, la fecha y hora, la IP, la acción que está realizando y el referido (desde dónde llegó a esa página). Así tendrás una buena idea de lo que está ocurriendo.

Hola Claber. Sí, efectivamente, se ingresa desde "dominio/admin" con usuario y contraseña.
¿se puede simular lo que hace el hacker o probar la fortaleza que tiene mi sitio?, quisiera resolverlo lo antes posible, porque esto pasó ayer y la vez anterior fue el mes pasado.
Una de las pruebas que hice fue usar el "OR..." en el campo contraseña para armar una consulta ambigua y así pasar el login, pero no entra, o sea que el login que tengo anda bien.
El código malicioso lo están poniendo en un campo de una tabla de la base de datos (siempre lo ponen en la misma tabla) y esa tabla se llena desde un formulario en admin, por lo que deduzco es que están entrando a admin, pero tambien ¿podrían hacerlo desde la URL?.
Muchas gracias Claber, mientras tanto voy a implementar esto que me estás sugiriendo y después te comento.

(¿Quién es "Claber"?)

Pues en ese caso te sugiero implementar más mecanismos de seguridad.
Tu problema parece ser que quieres permitir código HTML pero esto implica que se pueden hacer cosas como incluir código JavaScript.

Hace un tiempo me encontré en la misma situación pero a diferencia de tu caso, yo lo había previsto de antemano. Quería que el usuario pueda poner código HTML pero solo permitir algunos tags específicos. Me iba a poner a la tarea de crear mi propio parser pero usando un poco de sentido común pensé que como el problema es bastante común alguien más ya ha implementado una solución, lo que me llevó a esta herramienta: htmLawed

Se trata de un script que exporta una función a la que le pasas el texto sospechoso y neutraliza el código malicioso. Sugiero que le eches una mirada.

Uy que genial DriverOp (disculpame por lo de Claber, es lo que figura debajo de tu nombre ), voy a probarlo.
¡¡¡ Muchas gracias !!!!

De nada

bigote y cual es el link de la web en cuestionalguno que otro usuario se puede animar a hacerle una revisadita

tuadmin escribió:

Si si....revisarlo....hackearlo más bien

DriverOp escribió:

Es la membresía que te otorgamos al lograr superar un clablevel (más de 100). Ya tu eres un claber.

Saludos

Maikel:
Sospeché que era algo así aunque no entendía por qué "claber" o qué significa... Ahora que lo sé, te lo agradezco .