[pgsql-es-ayuda] Re: [pgsql-es-ayuda] Re: [pgsql-es-ayuda] Inyecciones de código SQL

Mon, 06 Jun 2011 13:12:17 -0700 

Hay una buena recopilación acá
http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/


El 6/6/2011 3:51 PM, Juan escribió:

Hola gente

Hasta donde se . el sql injection ocurria en las pagians web donde
se llenaban los campos de texto /( qe luego se utilizarian en queries)
por ej,.

 el campo dice  nombre:________
y le pones ' ; delete * from users ' ( sin comillas. el ; es para terminar cualquier otro 
statement,y luego viene el daño. el delete)
para hacer esto mismo en una base de datos sin acceso a web habria que tener 
acceso y ademas persmisos de ejecucion. o sea
que sentido tiene "injectar" sql en una base de datos ( o sea store procedure) 
si ya tenemos acceso o ya lo ganamos?
de ser asi se llamaria sql injection? o se llamaria: el tipo entro a la base de datos 
y ejecuto lo que quizo?-
bueno pregunto por si estoy equivocado,. uds que creen?
salu2
mdc
2011/6/6 Lazaro Rubén García Martinez <[email protected] <mailto:[email protected]>> 

    Por alguna casualidad conoces algun sitio donde traten el tema de
    las inyecciones SQL sobre procedimientos almacenados.
    ________________________________________
    De: Alexander Concha [[email protected] <mailto:[email protected]>]
    Enviado el: lunes, 06 de junio de 2011 14:24
    Para: Lazaro Rubén García Martinez
    CC: [email protected]
    <mailto:[email protected]>
    Asunto: Re: [pgsql-es-ayuda] Inyecciones de código SQL

    2011/6/6 Lazaro Rubén García Martinez <[email protected]
    <mailto:[email protected]>>:
    > Hola a todos, es posible inyectar código SQL sobre
    procedimientos almacenados desarrollados en PL/pgSQL?
    > saludos.-

    Se puede programar mal en cualquier lenguaje. Si a alguien se le
    ocurre concatenar (incorrectamente) instrucciones SQL dentro de ellos,
    pues siempre habría la posibilidad de hacer ese tipo de ataques.

    Saludos
    --
    Alexander Concha
    http://www.buayacorp.com
    -
    Enviado a la lista de correo pgsql-es-ayuda
    ([email protected] <mailto:[email protected]>)
    Para cambiar tu suscripción:
    http://www.postgresql.org/mailpref/pgsql-es-ayuda




--
Marcos Luís Ortíz Valmaseda
 Software Engineer (UCI)
 http://marcosluis2186.posterous.com
 http://twitter.com/marcosluis2186

Responder a