Crack Wireless

Presentación
Antes de nada, me gustaría agradecer públicamente el labor y trabajo que han estado
llevando a cabo últimamente varias personas por la comunidad. En primer lugar a
Kenkeiras por este magnifico tutorial acompañado de la sección práctica en el
apartado de talleres de la comunidad, pero también y no menos importante, la labor
de Kmykc desde lo lejos en todo lo relacionado con loswargames, de Cam10n,
Finaltime, los moderadores de sección y globales que permiten que la atención de
otros se centre en nuevos proyectos y todos aquellos que habéis ayudado en algún
momento, ya sea con trabajo o con donaciones.

Aprovecho para comunicaros, una vez más, y creedme que no me gusta nada tener
que pedir y menos tan repetitivamente, que la comunidad está pasando por un
momentoMUY DELICADO ECONOMICAMENTE. Agradeceríamos a aquellos que
puedan, que hicieran una donación por pequeña que sea. Podéis hacerla por paypal a
la cuenta que consta en la web o pedirme los datos bancarios de Hack x Crack para
hacer una transferencia o ingreso.

No os entretengo más, demos lugar a este estupendo tutorial, espero que lo disfrutéis
y aprendáis mucho con el.

Un saludo a todoslos Hack x Crackeros,

Neddih I

1

www.hackxcrack.es

0. Antes de empezar...
0.1 ¿Que es una inyección SQL?
La vulnerabilidad a inyecciones SQL es un bug de seguridad que suele darse en sitios web aunque
también puede darse en un programa normal. Se basa en un fallo en la comunicación entre el usuario
final y la base de datos. Esta comunicación se hace a través de un lenguaje llamadoSQL (Structured
Query Language, Lenguaje Estructurado de Consultas), de ahí el nombre.
La forma más común de ese error es confiar en la entrada y permitir al usuario modificar la consulta a la
base de datos para que haga algo diferente a su propósito original.

0.2 ¿Que es SQL?
SQL es un lenguaje diseñado para consultar y modificar bases de datos, es simple inglés, lo que permite
aprenderlorápidamente, por ejemplo, si queremos ver la información de una tabla usuarios, la consulta
sería:

select * from bd_tuto;
Después veremos como funciona básicamente este lenguaje para poder usarlo en nuestro favor.

0.3 ¿Se puede evitar una inyección SQL?
Por supuesto, “simplemente” comprobando que los datos de entrada son seguros (normalmente los que
provee el usuario), conseguiremos unapágina web/programa/script que no sea vulnerable a una
inyección SQL.

Todo el tutorial puede ponerse en práctica
en la siguiente dirección:
http://talleres.hackxcrack.es/sql/practica/

2

www.hackxcrack.es

1.Introducción a SQL
No tiene sentido explicar SQL a fondo, incluyendo como se crean tablas, bases de datos y demás, así
procuraré centrarme en lo que puede ser útil en este casoy cada uno puede estudiar a fondo SQL por
su cuenta si le engancha este mundillo de las bases de datos.

1.1 Tipos de datos
En este momento solo nos interesan dos tipos de datos, el resto no tienen importancia ya que son poco
comunes, no son estándar, no son visibles desde el exterior o se obtienen a través de estos dos, estos
son:


Alfanuméricos: son cadenas de letras, números ysímbolos, están delimitados por ' y ', por
ejemplo: 'esto es un ejemplo'



Numéricos: son simples números, así que no necesitan estar delimitados, por ejemplo: 42

1.2 Construcción de consultas
Todas consultas a la base de datos (peticiones y modificaciones de datos) tienen muchos elementos en
común, si consideramos todas en conjunto, las partes que puede tener son:






from

where

IMPORTANTE:Y toda consulta acaba por punto y coma “;”

1.3 Consulta Select (recuperando datos de la base de datos)
Por ejemplo, volviendo a la consulta de ejemplo, veamos como funciona:

select * from bd_tuto;


select * , la operación select muestra la base de datos, los son las
columnas de la base de datos que se mostrarán, con * se mostrarán todas, si queremos que se...