INYECCI N SQL
Páginas: 2 (476 palabras)
Publicado: 3 de septiembre de 2015
INSTITUTO TECNOLOGICO SUPERIOR DE
COATZACOALCOS
INYECCIÓN
SQL
RUIZ LÓPEZ MANUEL
LÓPEZ RAMIREZ JORGE ABRAHAM
ELVIREZ BARRADAS RODRIGO
SOLIS MAZARIEGOS DANYA LUCERO
MARTINEZ URBANO DALIA
ING.SISTEMAS
COMPUTACIONALES
4B
SISTEMAS OPERATIVOS
¿QUÉ ES LA INYECCIÓN SQL?
• La inyección directa de comandos SQL es
una técnica donde un atacante crea o
altera comandos SQL existentes para
exponer datosocultos, sobrescribir los
valiosos, o peor aún, ejecutar comandos
peligrosos a nivel de sistema en el equipo
que hospeda la base de datos.
• La forma principal de inyección de código
SQL consiste enla inserción directa de
código en variables especificadas por el
usuario que se concatenan con comandos
SQL y se ejecutan.
• El proceso de inyección consiste en
finalizar prematuramente una cadenade
texto y anexar un nuevo comando. Como
el comando insertado puede contener
cadenas adicionales que se hayan anexado
al mismo antes de su ejecución, el
atacante pone fin a la cadena inyectada
con unamarca de comentario "--".
• Siempre y cuando el código SQL inyectado sea
sintácticamente correcto, no será posible detectar
alteraciones mediante programación. Por ello,
debe validar todos los datosespecificados por el
usuario y revisar cuidadosamente el código que
ejecute comandos SQL construidos en el servidor
que utilice.
Técnicas de evitación
• Nunca se conecte como SuperUsuario o comopropietario de la base de datos. Siempre utilice
usuarios personalizados con privilegios muy
limitados.
• Emplee sentencias preparadas con variables
vinculadas. Son proporcionadas por PDO , MySQL
yotras bibliotecas.
• El principal problema de estos ataques es que si
dejamos que el usuario del programa introduzca
libremente caracteres sin control ninguno
(mediante formularios, por ejemplo) puedellegar
a aprovecharse de las comillas (simples y dobles
con las que declaramos cadenas de texto
o strings).
• ejemplo de una consulta SQL a la que le
mandamos dos parámetros (independientemente
del...
COATZACOALCOS
INYECCIÓN
SQL
RUIZ LÓPEZ MANUEL
LÓPEZ RAMIREZ JORGE ABRAHAM
ELVIREZ BARRADAS RODRIGO
SOLIS MAZARIEGOS DANYA LUCERO
MARTINEZ URBANO DALIA
ING.SISTEMAS
COMPUTACIONALES
4B
SISTEMAS OPERATIVOS
¿QUÉ ES LA INYECCIÓN SQL?
• La inyección directa de comandos SQL es
una técnica donde un atacante crea o
altera comandos SQL existentes para
exponer datosocultos, sobrescribir los
valiosos, o peor aún, ejecutar comandos
peligrosos a nivel de sistema en el equipo
que hospeda la base de datos.
• La forma principal de inyección de código
SQL consiste enla inserción directa de
código en variables especificadas por el
usuario que se concatenan con comandos
SQL y se ejecutan.
• El proceso de inyección consiste en
finalizar prematuramente una cadenade
texto y anexar un nuevo comando. Como
el comando insertado puede contener
cadenas adicionales que se hayan anexado
al mismo antes de su ejecución, el
atacante pone fin a la cadena inyectada
con unamarca de comentario "--".
• Siempre y cuando el código SQL inyectado sea
sintácticamente correcto, no será posible detectar
alteraciones mediante programación. Por ello,
debe validar todos los datosespecificados por el
usuario y revisar cuidadosamente el código que
ejecute comandos SQL construidos en el servidor
que utilice.
Técnicas de evitación
• Nunca se conecte como SuperUsuario o comopropietario de la base de datos. Siempre utilice
usuarios personalizados con privilegios muy
limitados.
• Emplee sentencias preparadas con variables
vinculadas. Son proporcionadas por PDO , MySQL
yotras bibliotecas.
• El principal problema de estos ataques es que si
dejamos que el usuario del programa introduzca
libremente caracteres sin control ninguno
(mediante formularios, por ejemplo) puedellegar
a aprovecharse de las comillas (simples y dobles
con las que declaramos cadenas de texto
o strings).
• ejemplo de una consulta SQL a la que le
mandamos dos parámetros (independientemente
del...
Leer documento completo
Regístrate para leer el documento completo.