Comments on: Evitando SQL Injection, pero de base… http://www.federicoalmada.com/2007/10/28/evitando-sql-injection-pero-de-base/ Un egosite con tecnología, internet y un poco de humor... Mon, 06 Oct 2008 13:34:02 +0000 http://wordpress.org/?v=2.5.1 By: Federico Almada http://www.federicoalmada.com/2007/10/28/evitando-sql-injection-pero-de-base/#comment-81 Federico Almada Sun, 28 Oct 2007 18:41:48 +0000 http://www.federicoalmada.com.ar/2007/10/28/evitando-sql-injection-pero-de-base/#comment-81 Matías, jaja ya lo había visto pero en otro comic :P, algo similar... muy bueno :D Martín, sea lo que sea que hayas puesto sobre < y >, al parecer se lo tragó la protección del Wordpress jaja :P Matías, jaja ya lo había visto pero en otro comic :P, algo similar… muy bueno :D

Martín, sea lo que sea que hayas puesto sobre < y >, al parecer se lo tragó la protección del Wordpress jaja :P

]]> By: MaRTiN http://www.federicoalmada.com/2007/10/28/evitando-sql-injection-pero-de-base/#comment-80 MaRTiN Sun, 28 Oct 2007 18:01:37 +0000 http://www.federicoalmada.com.ar/2007/10/28/evitando-sql-injection-pero-de-base/#comment-80 PUF... editá el post para que se vea lo que puse entre < y > PUF… editá el post para que se vea lo que puse entre < y >

]]> By: MaRTiN http://www.federicoalmada.com/2007/10/28/evitando-sql-injection-pero-de-base/#comment-79 MaRTiN Sun, 28 Oct 2007 17:58:36 +0000 http://www.federicoalmada.com.ar/2007/10/28/evitando-sql-injection-pero-de-base/#comment-79 Mmm... aún colocando otras condiciones en el WHERE... el problema es que si no están escapeadas las comillas podes meter 1 o más sentencias SQL. Ejemplo: SELECT xxxxx FROM tabla WHERE columna1 = '' and fruta = 'xxxxx'; En el caso presentado arriba, no importa si falla la última consulta, pues ya se habría ejecutado el SQL malicioso. Además de escapear las variables que vienen desde el usuario, las variables puede ser bindeadas (en algunas DB como ORACLE) para asegurarse que sea el contenido de la variable, y no una parte de la query. Mmm… aún colocando otras condiciones en el WHERE… el problema es que si no están escapeadas las comillas podes meter 1 o más sentencias SQL.

Ejemplo: SELECT xxxxx FROM tabla WHERE columna1 = ” and fruta = ‘xxxxx’;

En el caso presentado arriba, no importa si falla la última consulta, pues ya se habría ejecutado el SQL malicioso.

Además de escapear las variables que vienen desde el usuario, las variables puede ser bindeadas (en algunas DB como ORACLE) para asegurarse que sea el contenido de la variable, y no una parte de la query.

]]> By: Matías http://www.federicoalmada.com/2007/10/28/evitando-sql-injection-pero-de-base/#comment-78 Matías Sun, 28 Oct 2007 17:27:47 +0000 http://www.federicoalmada.com.ar/2007/10/28/evitando-sql-injection-pero-de-base/#comment-78 La idea está buena; pero tiene un problemilla de seguridad. Más allá de los cambios a la sintáxis del lenguaje y los dolores de cabeza para los programadores. Quiere decir que dicha contraseña estaría desparrarmada por todo el código de la aplicación. Es una medida efectiva y muy ingeniosa. Pero no hay forma de centralizarla (es decir, no tener que cambiar todas las líneas de código cada vez que se cambie el AUTH) sin hacer MVC. Y si uno ya está haciendo MVC, el control de SQL injections es una idiotez. Para que te rías un ratito al respecto (o pongas como imagen del post): http://xkcd.com/327/ La idea está buena; pero tiene un problemilla de seguridad. Más allá de los cambios a la sintáxis del lenguaje y los dolores de cabeza para los programadores. Quiere decir que dicha contraseña estaría desparrarmada por todo el código de la aplicación.

Es una medida efectiva y muy ingeniosa. Pero no hay forma de centralizarla (es decir, no tener que cambiar todas las líneas de código cada vez que se cambie el AUTH) sin hacer MVC. Y si uno ya está haciendo MVC, el control de SQL injections es una idiotez.

Para que te rías un ratito al respecto (o pongas como imagen del post): http://xkcd.com/327/

]]>