Evitar a injeção de SQL no Magento (Termos de Pesquisa)

1

Minha pergunta é: o que pode ser feito para evitar frases de pesquisa maliciosas em bancos de dados mysql?

Exemplo de spam de termos de pesquisa: guayabera en espa�a//?option=com_product//catalog/seo_sitemap/account//index2.php?option=c

Estou pensando em fazer isso no PHP, impedindo uma consulta com o caractere ? . Ou talvez simplesmente bloquear endereços IP usando a função de pesquisa. Existe uma maneira melhor?

    
por Luis 16.06.2012 / 02:40

2 respostas

1

O Magento tem algum suporte para ataques de injeção e XSS, mas foi comprometido em vários lançamentos no passado, portanto, não confie nele com proteção independente suficiente.

Considere adicionar um firewall de aplicativo da Web (naxsi) ao seu servidor, em conjunto com um firewall IPS / IDS, o que aumentaria a proteção para você e seus clientes.

Fale com o seu host, qualquer host especializado do Magento terá provisões para isso, e caso contrário, troque de host.

    
por 20.06.2012 / 10:08
1

O Magento já tem muito código para te proteger contra isso. A melhor maneira de se proteger é manter uma versão atual e uma versão do Magento. (Como falhas são encontradas, o Magento as corrige.)

O maior perigo é deixar versões antigas do Magento (ou qualquer outro aplicativo) ativas por anos a fio. As falhas são encontradas em todos eles, e a única maneira de permanecer relativamente seguro é manter-se atualizado.

    
por 16.06.2012 / 03:33