Cita:
Empezado por defcon1_es
Me has dejado intrigado, pero en el ejemplo ¿cómo se podría inyectar código SQL si el nombre de la tabla no lo puede teclear un usuario?
|
Hola defcon1_es.
Si el valor es asignado por código yo tampoco veo la posibilidad de hacerlo. Mi comentario fué por que no ví de que manera
sabueso1010 asignaba el valor a la variable, por lo que el código SQL bién podría haber quedado expuesto.
Ahora revisando con más detenimiento véo que no reparé bién en el mensaje
#8 donde
sabueso1010 dice:
Cita:
...
por eso al campo qtabla le asigno la cadena
qtabla:=dbserver+'\@viajes.db'
....
|
Así que en este caso, creo como vos, que no es factible.
Al igual que comentás en tu último mensaje, yo también tendría que profundizar más sobre si aún así existe la posibilidad, ya que es una vulnerabilidad potencial muy peligrosa.
Lo que es claro que con el uso de parámetros no es viable la inyección.
Un saludo.