programacion
Páginas: 4 (809 palabras)
Publicado: 28 de mayo de 2014
SQL Injection
«Anterior
Capítulo Siguiente »
Una Inyección SQL puede destruir su base de datos.
SQL en páginas Web
En los capítulos anteriores, que han aprendido a recuperar (y actualizar)los datos de la base de datos, el uso de SQL.
Cuando SQL se utiliza para mostrar datos en una página web, es común que los usuarios web de entrada de sus propios valores de búsqueda.
Como lassentencias SQL son de sólo texto, es fácil, con un pequeño pedazo de código de computadora, para cambiar dinámicamente las sentencias SQL para proporcionar al usuario con los datos seleccionados:
Códigodel Servidor
txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;
En el ejemplo anterior, crea una instrucción de selección mediante la adición de unavariable (txtUserId) a una cadena de selección. La variable se fue a buscar a partir de la entrada del usuario (Request) a la página.
El resto de este capítulo se describen los peligros potencialesdel uso de la entrada del usuario en las instrucciones SQL.
Inyección SQL
Inyección SQL es una técnica donde los usuarios maliciosos pueden inyectar comandos SQL en una sentencia SQL, a través deentrada página web.
Comandos SQL inyectados pueden alterar sentencia SQL y poner en peligro la seguridad de una aplicación web.
SQL Injection Basado en 1 = 1 siempre es cierto
Mira el ejemploanterior, una vez más.
Digamos que el propósito original del código fue la de crear una sentencia SQL para seleccionar un usuario con un nombre de usuario dado.
Si no hay nada para evitar que un usuarioentre en la entrada "mal", el usuario puede introducir una cierta entrada "inteligente" de la siguiente manera:
ID de Usuario:
Resultado del servidor
SELECT * FROM Users WHERE UserId = 105 or1=1
El SQL anterior es válido. Devolverá todas las filas de los usuarios de la tabla, ya que 1 = 1 siempre es cierto.
¿El ejemplo anterior parece peligroso? ¿Qué pasa si la tabla Usuarios contiene...
«Anterior
Capítulo Siguiente »
Una Inyección SQL puede destruir su base de datos.
SQL en páginas Web
En los capítulos anteriores, que han aprendido a recuperar (y actualizar)los datos de la base de datos, el uso de SQL.
Cuando SQL se utiliza para mostrar datos en una página web, es común que los usuarios web de entrada de sus propios valores de búsqueda.
Como lassentencias SQL son de sólo texto, es fácil, con un pequeño pedazo de código de computadora, para cambiar dinámicamente las sentencias SQL para proporcionar al usuario con los datos seleccionados:
Códigodel Servidor
txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;
En el ejemplo anterior, crea una instrucción de selección mediante la adición de unavariable (txtUserId) a una cadena de selección. La variable se fue a buscar a partir de la entrada del usuario (Request) a la página.
El resto de este capítulo se describen los peligros potencialesdel uso de la entrada del usuario en las instrucciones SQL.
Inyección SQL
Inyección SQL es una técnica donde los usuarios maliciosos pueden inyectar comandos SQL en una sentencia SQL, a través deentrada página web.
Comandos SQL inyectados pueden alterar sentencia SQL y poner en peligro la seguridad de una aplicación web.
SQL Injection Basado en 1 = 1 siempre es cierto
Mira el ejemploanterior, una vez más.
Digamos que el propósito original del código fue la de crear una sentencia SQL para seleccionar un usuario con un nombre de usuario dado.
Si no hay nada para evitar que un usuarioentre en la entrada "mal", el usuario puede introducir una cierta entrada "inteligente" de la siguiente manera:
ID de Usuario:
Resultado del servidor
SELECT * FROM Users WHERE UserId = 105 or1=1
El SQL anterior es válido. Devolverá todas las filas de los usuarios de la tabla, ya que 1 = 1 siempre es cierto.
¿El ejemplo anterior parece peligroso? ¿Qué pasa si la tabla Usuarios contiene...
Leer documento completo
Regístrate para leer el documento completo.