Wed, Jul 06, 2011 at 09:48:24AM -0500, felix gonzales escribió:
>gracias Alvaro.. desde nuestra aplicación solo pueden aplicar el "SELECT
>...... WHERE ....." mas no otras instrucciones.
Lo cual es lo mismo que decir que pueden ejecutar absolutamente
todo... salvo que tengas filtros que eliminen SQL de lo que introducen,
y eso no es nada fácil...
¿Si en el ______ de la derecha del WHERE se escribe algo similar
a:
1=1; DROP TABLE zzzz;
¿qué sucede? (y variaciones sobre lo anterior, claro... como incluir
subselects que borren/actualicen... es sencillo -lo cual funcionaría aun
permitiendo la ejecución de una única sentencia)
Mucho cuidado...
Saludos,
Álvaro
--
Álvaro Hernández Tortosa
-----------
NOSYS
Networked Open SYStems
-
Enviado a la lista de correo pgsql-es-ayuda ([email protected])
Para cambiar tu suscripción:
http://www.postgresql.org/mailpref/pgsql-es-ayuda
