Club Delphi  
    FTP   CCD     Buscar   Trucos   Trabajo   Foros

Retroceder   Foros Club Delphi > Otros temas > La Taberna
Actualizar esta página Aprendiendo de los errores de otros en BDs
Registrarse FAQ Miembros Calendario Guía de estilo Buscar Temas de Hoy Marcar Foros Como Leídos

Respuesta
 
Herramientas Buscar en Tema Desplegado
  #1  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
  
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
¡Pero no me has explicado nada! ¿Cuál es el peligro de esa consulta así de directa? Y, se lo diga o no, el usuario puede poner sus %.

// Saludos
Responder Con Cita
  #2  
Antiguo 13-04-2012
Avatar de AzidRain
[AzidRain] AzidRain is offline
Miembro Premium
  
Registrado: sep 2005
Ubicación: Córdoba, Veracruz, México
Posts: 2.914
Poder: 21
AzidRain Va camino a la fama
El "%" le funcionara solo si tu consulta es un LIKE como pusiste, si es una igualdad (al menos en MySQL que es lo que trabajo todos los días) simplemente no hará nada.
__________________
AKA "El animalito" ||Cordobés a mucha honra||
Responder Con Cita
  #3  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
  
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Bueno, eso lo entiendo. Lo que no entiendo es qué tiene que ver con inyección de código SQL, que es el tema que pusiste sobe la mesa. Si hay algún peligro potencial, sería bueno saberlo.

// Saludos
Responder Con Cita
  #4  
Antiguo 13-04-2012
Avatar de mamcx
mamcx mamcx is offline
Moderador
  
Registrado: sep 2004
Ubicación: Medellín - Colombia
Posts: 3.913
Poder: 25
mamcx Tiene un aura espectacularmamcx Tiene un aura espectacularmamcx Tiene un aura espectacular
EL usar parámetros elimina la inyección de sql roman. Es una de las medidas a tomar.
__________________
El malabarista.
Responder Con Cita
  #5  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
  
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
De acuerdo Mario, de hecho, siempre uso parámetros tan sólo por legibilidad y organización del código. Pero, vamos a suponer que no los uso. Sigue sin quedarme claro cuál es el peligro potencial del comodín. Entiendo otro tipo de peligros como el de aceptar que el usuario escriba apóstrofos, pero no veo qué sucede con el %.

// Saludos
Responder Con Cita
  #6  
Antiguo 13-04-2012
Avatar de mamcx
mamcx mamcx is offline
Moderador
  
Registrado: sep 2004
Ubicación: Medellín - Colombia
Posts: 3.913
Poder: 25
mamcx Tiene un aura espectacularmamcx Tiene un aura espectacularmamcx Tiene un aura espectacular
El problema del comodin es solo si el codigo es vulnerable a injeccion.

Al usar parametros, este se "escapa". Es como con las URL. Si envias "un/ejemplo" directo, se entiende como una subcarpeta. Pero si se escapa es "un%2Fejemplo". Es el mismo principio: Al usar parametros, la BD "escapa" los caracteres potencialmente peligrosos, ergo, no hay peligro de injeccion.
__________________
El malabarista.
Responder Con Cita
  #7  
Antiguo 13-04-2012
Avatar de AzidRain
[AzidRain] AzidRain is offline
Miembro Premium
  
Registrado: sep 2005
Ubicación: Córdoba, Veracruz, México
Posts: 2.914
Poder: 21
AzidRain Va camino a la fama
Yo creo que este sitio puede servir también como referencia, habla de la inyección de código y de parametrización pero trae mas ejemplos
__________________
AKA "El animalito" ||Cordobés a mucha honra||
Responder Con Cita
  #8  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
  
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Cita:
Empezado por mamcx
El problema del comodin es solo si el codigo es vulnerable a injeccion.

Al usar parametros, este se "escapa". Es como con las URL. Si envias "un/ejemplo" directo, se entiende como una subcarpeta. Pero si se escapa es "un%2Fejemplo". Es el mismo principio: Al usar parametros, la BD "escapa" los caracteres potencialmente peligrosos, ergo, no hay peligro de injeccion.
¡Ah! Pero eso no es así. No al menos en el caso de MySQL. Me refiero a que el caracter % pasa tal cual, sin escaparse, al momento de sustituir el parámetro. De lo contrario no serviría realmente como comodín. Y juraría que es igual con otras bases de datos.

// Saludos
Responder Con Cita
Respuesta

« Tema Anterior | Próximo Tema »

Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado
Modo Híbrido Modo Híbrido

Normas de Publicación
no Puedes crear nuevos temas
no Puedes responder a temas
no Puedes adjuntar archivos
no Puedes editar tus mensajes
El código vB está habilitado
Las caritas están habilitado
Código [IMG] está habilitado
Código HTML está deshabilitado
Saltar a Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Aprendiendo a usar Trigger... verito_83mdq MySQL 11 23-02-2011 00:05:13
Aprendiendo juegos de delphi ferra99 Varios 6 29-10-2008 12:47:19
Aprendiendo calistian Varios 4 14-06-2008 21:47:48
Aprendiendo a Aprender Firebird...!!! RK2 Firebird e Interbase 5 12-05-2008 20:11:48
Aprendiendo delphi for php JULIPO PHP 6 21-09-2007 21:19:47


La franja horaria es GMT +2. Ahora son las 09:04:33.

Club Delphi - Archivo - Top

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi
Copyright 1996-2007 Club Delphi