Codigo Sql
Páginas: 11 (2615 palabras)
Publicado: 27 de octubre de 2011
Código
Imports system.Data
Imports system.Data.OleDb
Public Class Form1
Private Sub Form1_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load
End Sub
____________________________________________________________
_____________
Private Sub bg_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles bg.Click
TryDim conexion As String = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=D:\dbcolegio.MDB;"
Dim objetoConexion As New OleDbConnection(conexion)
Dim DNI, NOMBRE, APEPAT, APEMAT As String
Dim DBInsert As New OleDbCommand()
DNI = txtd.Text: NOMBRE = txtn.Text:APEPAT = txtp.Text
APEMAT = txtm.TextDBInsert.CommandText = "Insert Into profesor " _
& "(dni,nombre,apepat,apemat) " _
& "Values (" _
& "'" & DNI & "', " _
& "'" & NOMBRE & "', " _
& "'" & APEPAT & "', " _
& "'" & APEMAT & "')"
DBInsert.Connection = objetoConexion
DBInsert.Connection.Open()DBInsert.ExecuteNonQuery()
MsgBox("REGISTRO GRABADO")
objetoConexion.Close()
Catch err As System.Exception
MsgBox(err.Message)
End Try
End Sub
End Class
Inyección de código SQL
* -------------------------------------------------
SQL Server 2008
* -------------------------------------------------
SQL Server 2005La inyección de código SQL es un ataque en el cual se inserta código malicioso en las cadenas que posteriormente se pasan a una instancia de SQL Server para su análisis y ejecución. Todos los procedimientos que generan instrucciones SQL deben revisarse en busca de vulnerabilidades de inyección de código, ya que SQL Server ejecutará todas las consultas recibidas que sean válidas desde el punto devista sintáctico. Un atacante cualificado y con determinación puede manipular incluso os datos con parámetros.
La forma principal de inyección de código SQL consiste en la inserción directa de código en variables especificadas por el usuario que se concatenan con comandos SQL y se ejecutan. Existe un ataque menos directo que inyecta código dañino en cadenas que están destinadas a almacenarse enuna tabla o como metadatos. Cuando las cadenas almacenadas se concatenan posteriormente en un comando SQL dinámico, se ejecuta el código dañino.
El proceso de inyección consiste en finalizar prematuramente una cadena de texto y anexar un nuevo comando. Como el comando insertado puede contener cadenas adicionales que se hayan anexado al mismo antes de su ejecución, el atacante pone fin a la cadenainyectada con una marca de comentario "--". El texto situado a continuación se omite en tiempo de ejecución.
En el siguiente script se muestra una sencilla inyección de código SQL. El script crea una consulta SQL concatenando cadenas no modificables con una cadena especificada por el usuario:
other
var Shipcity;
ShipCity = Request.form("ShipCity");
var sql = "select * from OrdersTable where ShipCity = '" + ShipCity + "'";
Se le pide al usuario que escriba el nombre de una ciudad. Si el usuario especifica Redmond, la consulta ensamblada por el script presenta un aspecto similar al siguiente:
SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond'
Sin embargo, suponga que el usuario especificase lo siguiente:
Redmond';drop table OrdersTable--
En este caso, la siguiente consulta la ensambla el script:
SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond';drop table OrdersTable--'
El punto y coma (;) denota el final de una consulta y el principio de otra. El guión doble (--) indica que el resto de la línea actual es un comentario y debe omitirse. Si el código modificado es sintácticamente correcto, el...
Imports system.Data
Imports system.Data.OleDb
Public Class Form1
Private Sub Form1_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load
End Sub
____________________________________________________________
_____________
Private Sub bg_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles bg.Click
TryDim conexion As String = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=D:\dbcolegio.MDB;"
Dim objetoConexion As New OleDbConnection(conexion)
Dim DNI, NOMBRE, APEPAT, APEMAT As String
Dim DBInsert As New OleDbCommand()
DNI = txtd.Text: NOMBRE = txtn.Text:APEPAT = txtp.Text
APEMAT = txtm.TextDBInsert.CommandText = "Insert Into profesor " _
& "(dni,nombre,apepat,apemat) " _
& "Values (" _
& "'" & DNI & "', " _
& "'" & NOMBRE & "', " _
& "'" & APEPAT & "', " _
& "'" & APEMAT & "')"
DBInsert.Connection = objetoConexion
DBInsert.Connection.Open()DBInsert.ExecuteNonQuery()
MsgBox("REGISTRO GRABADO")
objetoConexion.Close()
Catch err As System.Exception
MsgBox(err.Message)
End Try
End Sub
End Class
Inyección de código SQL
* -------------------------------------------------
SQL Server 2008
* -------------------------------------------------
SQL Server 2005La inyección de código SQL es un ataque en el cual se inserta código malicioso en las cadenas que posteriormente se pasan a una instancia de SQL Server para su análisis y ejecución. Todos los procedimientos que generan instrucciones SQL deben revisarse en busca de vulnerabilidades de inyección de código, ya que SQL Server ejecutará todas las consultas recibidas que sean válidas desde el punto devista sintáctico. Un atacante cualificado y con determinación puede manipular incluso os datos con parámetros.
La forma principal de inyección de código SQL consiste en la inserción directa de código en variables especificadas por el usuario que se concatenan con comandos SQL y se ejecutan. Existe un ataque menos directo que inyecta código dañino en cadenas que están destinadas a almacenarse enuna tabla o como metadatos. Cuando las cadenas almacenadas se concatenan posteriormente en un comando SQL dinámico, se ejecuta el código dañino.
El proceso de inyección consiste en finalizar prematuramente una cadena de texto y anexar un nuevo comando. Como el comando insertado puede contener cadenas adicionales que se hayan anexado al mismo antes de su ejecución, el atacante pone fin a la cadenainyectada con una marca de comentario "--". El texto situado a continuación se omite en tiempo de ejecución.
En el siguiente script se muestra una sencilla inyección de código SQL. El script crea una consulta SQL concatenando cadenas no modificables con una cadena especificada por el usuario:
other
var Shipcity;
ShipCity = Request.form("ShipCity");
var sql = "select * from OrdersTable where ShipCity = '" + ShipCity + "'";
Se le pide al usuario que escriba el nombre de una ciudad. Si el usuario especifica Redmond, la consulta ensamblada por el script presenta un aspecto similar al siguiente:
SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond'
Sin embargo, suponga que el usuario especificase lo siguiente:
Redmond';drop table OrdersTable--
En este caso, la siguiente consulta la ensambla el script:
SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond';drop table OrdersTable--'
El punto y coma (;) denota el final de una consulta y el principio de otra. El guión doble (--) indica que el resto de la línea actual es un comentario y debe omitirse. Si el código modificado es sintácticamente correcto, el...
Leer documento completo
Regístrate para leer el documento completo.