SQL Injection

Gohoglas........
He buscado bastante info pero parece que sin backup no puedo hacer nada... Como administrador web del sitio buxa.in me siento violado, pues me han lammeado (con sql-injection).. y han blanqueado los 3 campos mas importantes de mi tabla de usuarios...

Alguien tiene una idea avanzada del tema y puede colaborar algo?

Muchas gracias..

Por el tema de los datos dudo que puedas hacer algo, salvo que tengas un backup reciente de la base de datos.

Por el lado de implementar mejores medidas de seguridad, yo creo que para evitar inyeciones sql basta con eliminar las comillas (') y doble comillas (") antes de consultar a una base de datos, con eso creo que son imposibles de realizar.

Saludos,
Gonzalo

Puede haber sido un SQL-Injection desde otro lugar que no sea un "input"?
El problema es que a veces se hacen consultas no desde un "input" sino desde un valor de la sesion... y ese valor no puede ser generado (legalmente) con " y '
Entonces, sql-injection desde la sesion no fue.

Puede haber sido un include("miaconfig".php) ?
No, porque siempre que se incluya externamente, no leera los contenidos, dado que PHP solo los corre para el servidor propio (no ajeno)...
Pero ¿entonces?

Deduzco que fue el anterior admin del sitio, le cambiamos las passwords al FTP y al Panel de Control, (servidor dedicado) pero olvide cambiarla al SQL... Puede haber creado la conexion, como myslq_connect("server", "user", "password")? supongo que si... Otra no me queda.


@echo Muchas gracias!

Los sql injection de niños se hacen desde input, las de los hombres de verdad, se hacen a través de peticiones http. No te atengas a que viene de input, atente a que viene una variable por post o por get, mas nada. La forma mas segura y donde es imposible recibir un SQL Injection es usando store procedures. Si no puedes usarlo, con que elimines las comillas simples tienes un grado importante de protección.

Código :

$Value = str_replace("'","\'",$ValorPost); 

Saludos

si tnia eso, stripslashes y esas funciones d php... entonces no me queda duda q no fue SQL_Inj, q fue el ex admin del sitio

La gente interna de informática generalmente es la culpable del 70% de los desastres informáticos, tanto intencional, como porqué no decirlo, sin intención.