Hola gente Hasta donde se . el sql injection ocurria en las pagians web donde se llenaban los campos de texto /( qe luego se utilizarian en queries) por ej,.
el campo dice nombre:________ y le pones ' ; delete * from users ' ( sin comillas. el ; es para terminar cualquier otro statement,y luego viene el daño. el delete) para hacer esto mismo en una base de datos sin acceso a web habria que tener acceso y ademas persmisos de ejecucion. o sea que sentido tiene "injectar" sql en una base de datos ( o sea store procedure) si ya tenemos acceso o ya lo ganamos? de ser asi se llamaria sql injection? o se llamaria: el tipo entro a la base de datos y ejecuto lo que quizo?- bueno pregunto por si estoy equivocado,. uds que creen? salu2 mdc 2011/6/6 Lazaro Rubén García Martinez <[email protected]> > Por alguna casualidad conoces algun sitio donde traten el tema de las > inyecciones SQL sobre procedimientos almacenados. > ________________________________________ > De: Alexander Concha [[email protected]] > Enviado el: lunes, 06 de junio de 2011 14:24 > Para: Lazaro Rubén García Martinez > CC: [email protected] > Asunto: Re: [pgsql-es-ayuda] Inyecciones de código SQL > > 2011/6/6 Lazaro Rubén García Martinez <[email protected]>: > > Hola a todos, es posible inyectar código SQL sobre procedimientos > almacenados desarrollados en PL/pgSQL? > > saludos.- > > Se puede programar mal en cualquier lenguaje. Si a alguien se le > ocurre concatenar (incorrectamente) instrucciones SQL dentro de ellos, > pues siempre habría la posibilidad de hacer ese tipo de ataques. > > Saludos > -- > Alexander Concha > http://www.buayacorp.com > - > Enviado a la lista de correo pgsql-es-ayuda ([email protected] > ) > Para cambiar tu suscripción: > http://www.postgresql.org/mailpref/pgsql-es-ayuda >
