la aplicación cierra el WHERE con un "AND depe_id=xxxx" , es probable que se inserte otro código, pero hasta la fecha no hemos tenido problemas de ese tipo, (claro que tenemos que afinar ello) pero por ahora necesitamos saber si postgres requiere de mucho esfuerzo para detectar "errores de sintaxis".
2011/7/6 Álvaro Hernández <[email protected]> > Wed, Jul 06, 2011 at 09:48:24AM -0500, felix gonzales escribió: > > >gracias Alvaro.. desde nuestra aplicación solo pueden aplicar el "SELECT > >...... WHERE ....." mas no otras instrucciones. > > Lo cual es lo mismo que decir que pueden ejecutar absolutamente > todo... salvo que tengas filtros que eliminen SQL de lo que introducen, > y eso no es nada fácil... > > ¿Si en el ______ de la derecha del WHERE se escribe algo similar > a: > > 1=1; DROP TABLE zzzz; > > ¿qué sucede? (y variaciones sobre lo anterior, claro... como incluir > subselects que borren/actualicen... es sencillo -lo cual funcionaría aun > permitiendo la ejecución de una única sentencia) > > > Mucho cuidado... > > Saludos, > > Álvaro > > > -- > > Álvaro Hernández Tortosa > > > ----------- > NOSYS > Networked Open SYStems > -- Felix Gonzales
