Cómo solucionar el problema del hack de Plaincart

by David Harris // Marzo 16  

Vulnerabilidad de inyección de seguridad SQL de Plaincart.

Plaincart es un tutorial de carrito de compras en php diseñado en 2006 y es un gran recurso para las personas que desean aprender a crear su primer sistema de carrito de compras. Este tutorial tiene una vulnerabilidad de seguridad principal que es muy fácil de piratear. En realidad, ni siquiera hace falta un pirata informático para poder comprometer una instalación de Plaincart porque el método para descubrir la información de usuario y contraseña se distribuye abiertamente en muchos sitios web. El método es tan fácil como agregar los siguientes atributos después del directorio raíz de su instalación de Plaincart.

http://[target]/[script]/index.php?c=16&p=-3+UNION+SELECT+user_name,user_password,3,4,5+from+tbl_user—


Existe una solución para el ataque a la vulnerabilidad de inyección SQL de Plaincart. Todo lo que tiene que hacer es seguir los pasos a continuación.

1. Abra su index.php

2. Busque la línea 10 y seleccione:

$pdId   = (isset($_GET['p']) && $_GET['p'] != '') ? $_GET['p'] : 0;

3. Reemplace la línea 10 por:

function valid_pdId($get)
{
$x = isset($_GET[$get])&&$_GET[$get]!='1' ? $_GET[$get] : '';
if ( !ctype_digit($x) ) {
$x = ' ';
}
return $x;
}
$pdId = valid_pdId('p');

 

Si bien existen muchas excelentes soluciones de comercio electrónico pagas que recomendamos utilizar en lugar de Plaincart, esta solución rápida debería remediar el problema de la inyección SQL si tiene las manos atadas.

 

Sobre la autora

David Harris es redactor de contenidos en Adazing y cuenta con 20 años de experiencia en el mundo de la publicación y la tecnología, que evoluciona constantemente. Editor, entusiasta de la tecnología y conocedor de la cafeína a partes iguales, ha pasado décadas convirtiendo grandes ideas en prosa pulida. Como ex redactor técnico de una empresa de software de publicación basado en la nube y escritor fantasma de más de 60 libros, la experiencia de David abarca la precisión técnica y la narración creativa. En Adazing, aporta un don para la claridad y un amor por la palabra escrita a cada proyecto, mientras sigue buscando el atajo de teclado que le sirva para volver a llenar su café.