Club Delphi  
    FTP   CCD     Buscar   Trucos   Trabajo   Foros

Retroceder   Foros Club Delphi > Otros temas > La Taberna
Registrarse FAQ Miembros Calendario Guía de estilo Buscar Temas de Hoy Marcar Foros Como Leídos

Respuesta
 
Herramientas Buscar en Tema Desplegado
  #1  
Antiguo 12-04-2012
Avatar de AzidRain
[AzidRain] AzidRain is offline
Miembro Premium
 
Registrado: sep 2005
Ubicación: Córdoba, Veracruz, México
Posts: 2.914
Poder: 21
AzidRain Va camino a la fama
Aprendiendo de los errores de otros en BDs

Me econtre este sitio muy bueno que trata sobre diferentes estrategias para prevenir la inyección de código SQL en nuestras aplicaciones y me puse a pensar en varios ejemplos que he visto de desarrollos de mis colegas cordobeses en donde tal vez por comodidad practicamente se puede hacer de todo. He visto muchos casos donde por ejemplo en un soft de gestión, para buscar un producto por nombre le piden al usuario que escriba un "%" como comodín si no se sabe el nombre completo. En otros casos me encontré con una Forma que tenia un TMemoEdit para escribir supuestamente "comandos" definidos por el desarrollador del software quien coloco unos botones que al presionarlos simplemente escribian el código a ejecutar. De manera que tranquilamente podiamos ponernos a escribir cualquier comando SQL válido y su programa lo ejecutaba!!

Pero bueno, a todos en algún momento nos ha pasado.
__________________
AKA "El animalito" ||Cordobés a mucha honra||
Responder Con Cita
  #2  
Antiguo 13-04-2012
Avatar de Casimiro Notevi
Casimiro Notevi Casimiro Notevi is offline
Moderador
 
Registrado: sep 2004
Ubicación: En algún lugar.
Posts: 32.021
Poder: 10
Casimiro Notevi Tiene un aura espectacularCasimiro Notevi Tiene un aura espectacular
Conozco más de un programa que hace eso, pero claro, lo han pedido los clientes
Responder Con Cita
  #3  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
 
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Cita:
Empezado por AzidRain Ver Mensaje
para buscar un producto por nombre le piden al usuario que escriba un "%" como comodín si no se sabe el nombre completo.
A ver, quiero aprender. Yo hago esto que dices en una aplicación Delphi con MySQL. ¿Cuál sería el problema?.

Estrictamente hablando, esta es la consulta:

Código SQL [-]
select * from tabla where nombre like :valor

y sustituyo el parámetro con lo que escriba el usuario.

// Saludos
Responder Con Cita
  #4  
Antiguo 13-04-2012
Avatar de AzidRain
[AzidRain] AzidRain is offline
Miembro Premium
 
Registrado: sep 2005
Ubicación: Córdoba, Veracruz, México
Posts: 2.914
Poder: 21
AzidRain Va camino a la fama
la consulta es válida, pero si ya sabes que te pueden poner eso que mencionas simplemente quitas los % de la entrada del usuario y no haces un like asi tan directo.
__________________
AKA "El animalito" ||Cordobés a mucha honra||
Responder Con Cita
  #5  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
 
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
¡Pero no me has explicado nada! ¿Cuál es el peligro de esa consulta así de directa? Y, se lo diga o no, el usuario puede poner sus %.

// Saludos
Responder Con Cita
  #6  
Antiguo 13-04-2012
Avatar de AzidRain
[AzidRain] AzidRain is offline
Miembro Premium
 
Registrado: sep 2005
Ubicación: Córdoba, Veracruz, México
Posts: 2.914
Poder: 21
AzidRain Va camino a la fama
El "%" le funcionara solo si tu consulta es un LIKE como pusiste, si es una igualdad (al menos en MySQL que es lo que trabajo todos los días) simplemente no hará nada.
__________________
AKA "El animalito" ||Cordobés a mucha honra||
Responder Con Cita
  #7  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
 
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Bueno, eso lo entiendo. Lo que no entiendo es qué tiene que ver con inyección de código SQL, que es el tema que pusiste sobe la mesa. Si hay algún peligro potencial, sería bueno saberlo.

// Saludos
Responder Con Cita
  #8  
Antiguo 13-04-2012
Avatar de mamcx
mamcx mamcx is offline
Moderador
 
Registrado: sep 2004
Ubicación: Medellín - Colombia
Posts: 3.911
Poder: 25
mamcx Tiene un aura espectacularmamcx Tiene un aura espectacularmamcx Tiene un aura espectacular
EL usar parámetros elimina la inyección de sql roman. Es una de las medidas a tomar.
__________________
El malabarista.
Responder Con Cita
  #9  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
 
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
De acuerdo Mario, de hecho, siempre uso parámetros tan sólo por legibilidad y organización del código. Pero, vamos a suponer que no los uso. Sigue sin quedarme claro cuál es el peligro potencial del comodín. Entiendo otro tipo de peligros como el de aceptar que el usuario escriba apóstrofos, pero no veo qué sucede con el %.

// Saludos
Responder Con Cita
  #10  
Antiguo 13-04-2012
Avatar de mamcx
mamcx mamcx is offline
Moderador
 
Registrado: sep 2004
Ubicación: Medellín - Colombia
Posts: 3.911
Poder: 25
mamcx Tiene un aura espectacularmamcx Tiene un aura espectacularmamcx Tiene un aura espectacular
El problema del comodin es solo si el codigo es vulnerable a injeccion.

Al usar parametros, este se "escapa". Es como con las URL. Si envias "un/ejemplo" directo, se entiende como una subcarpeta. Pero si se escapa es "un%2Fejemplo". Es el mismo principio: Al usar parametros, la BD "escapa" los caracteres potencialmente peligrosos, ergo, no hay peligro de injeccion.
__________________
El malabarista.
Responder Con Cita
  #11  
Antiguo 13-04-2012
Avatar de AzidRain
[AzidRain] AzidRain is offline
Miembro Premium
 
Registrado: sep 2005
Ubicación: Córdoba, Veracruz, México
Posts: 2.914
Poder: 21
AzidRain Va camino a la fama
Yo creo que este sitio puede servir también como referencia, habla de la inyección de código y de parametrización pero trae mas ejemplos
__________________
AKA "El animalito" ||Cordobés a mucha honra||
Responder Con Cita
  #12  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
 
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Cita:
Empezado por mamcx
El problema del comodin es solo si el codigo es vulnerable a injeccion.

Al usar parametros, este se "escapa". Es como con las URL. Si envias "un/ejemplo" directo, se entiende como una subcarpeta. Pero si se escapa es "un%2Fejemplo". Es el mismo principio: Al usar parametros, la BD "escapa" los caracteres potencialmente peligrosos, ergo, no hay peligro de injeccion.
¡Ah! Pero eso no es así. No al menos en el caso de MySQL. Me refiero a que el caracter % pasa tal cual, sin escaparse, al momento de sustituir el parámetro. De lo contrario no serviría realmente como comodín. Y juraría que es igual con otras bases de datos.

// Saludos
Responder Con Cita
  #13  
Antiguo 13-04-2012
Avatar de gmontes
gmontes gmontes is offline
Miembro
 
Registrado: jul 2004
Ubicación: Culiacán, Sinaloa, México
Posts: 668
Poder: 20
gmontes Va por buen camino
me quede con las ganas de ver los ejemplos de AzidRain con lo que ha visto en los desarrollos de sus colegas cordobeses. para ver si caigo en alguno de esos casos
__________________
Todos llevamos nuestros demonios a cuestas..
Responder Con Cita
  #14  
Antiguo 13-04-2012
Avatar de AzidRain
[AzidRain] AzidRain is offline
Miembro Premium
 
Registrado: sep 2005
Ubicación: Córdoba, Veracruz, México
Posts: 2.914
Poder: 21
AzidRain Va camino a la fama
gmontes, Todos hemos caído en algún momento en alguna mala práctica o error de diseño, lo imporante es darse cuenta y no repetirlos. Aunque claro, siempre hay quien mantiene sus prácticas por comodidad pues muchas veces es más fácil hacer las cosas como caiga que buscarle patas por todos lados con tal de entregar algo bien. De ahi que son tan importantes las pruebas y que quien las realice vaya con toda la intención de hacer fallar tu programa.
__________________
AKA "El animalito" ||Cordobés a mucha honra||
Responder Con Cita
  #15  
Antiguo 13-04-2012
Avatar de roman
roman roman is offline
Moderador
 
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Pues yo sigo sin ver cuál es el problema con el comodín. ¿De verdad tienes alguna idea al respecto o lo soltaste así nada más?

// Saludos
Responder Con Cita
  #16  
Antiguo 14-04-2012
Avatar de mamcx
mamcx mamcx is offline
Moderador
 
Registrado: sep 2004
Ubicación: Medellín - Colombia
Posts: 3.911
Poder: 25
mamcx Tiene un aura espectacularmamcx Tiene un aura espectacularmamcx Tiene un aura espectacular
Cita:
Empezado por roman Ver Mensaje
¡Ah! Pero eso no es así. No al menos en el caso de MySQL. Me refiero a que el caracter % pasa tal cual, sin escaparse, al momento de sustituir el parámetro. De lo contrario no serviría realmente como comodín. Y juraría que es igual con otras bases de datos.

// Saludos
El caracter % hace parte del estandar SQL para consultas LIKE. No tiene nada de malo en general, excepto que se puede usar pa una injeccion, pero NUNCA en el caso de usar parametros.

Tener "%algo" no es ningun problema.
__________________
El malabarista.
Responder Con Cita
  #17  
Antiguo 14-04-2012
Avatar de Delphius
[Delphius] Delphius is offline
Miembro Premium
 
Registrado: jul 2004
Ubicación: Salta, Argentina
Posts: 5.582
Poder: 25
Delphius Va camino a la fama
Hola,
¿Azidrain podrías no ser tan esquivo y secote al explicar? A como se ha venido dando el hilo me da la impresión de que tiraste un tema muy de forma airosa, y ahora no le sabes como escapartele. Te agradecería que destines tiempo en elaborar una respuesta lo más clara, en lo técnica y operativamente posible que ilustre los peligros de esos tipos de consultas, y brindando información más objetiva de donde podamos aprender.
Creo que de ese modo los demás podríamos aprender más.

Yo algo de injección SQL he escuchado, leído e investigado pero no he dedicado tiempo como para ponerlo en análisis y pruebas. En lo que hace a aplicaciones de escritorio, si el usuario no tiene demasiadas posibilidades de meter dedo ¿nos libra de algún ataque?
Se escucha mucho hablar de injección SQL en el entorno web, es más las fuentes que estuve viendo de tu enlace se centra esto, pero hasta el momento no he visto algún artículo que hable de esto para aplicaciones de escritorio ¿Vale lo mismo?

Saludos,
__________________
Delphius
[Guia de estilo][Buscar]
Responder Con Cita
  #18  
Antiguo 14-04-2012
Avatar de ecfisa
ecfisa ecfisa is offline
Moderador
 
Registrado: dic 2005
Ubicación: Tres Arroyos, Argentina
Posts: 10.508
Poder: 36
ecfisa is a splendid one to beholdecfisa is a splendid one to beholdecfisa is a splendid one to beholdecfisa is a splendid one to beholdecfisa is a splendid one to beholdecfisa is a splendid one to beholdecfisa is a splendid one to behold
Hola.

Con seguridad todos los que participaron en este hilo conoce de forma clara la inyección sql, pero pensando en los que puedan
leer el tema y no sepan de él o tengan una idea muy vaga, agrego un enlace donde se explica de forma sencilla la [Inyección SQL]

Saludos.
__________________
Daniel Didriksen

Guía de estilo - Uso de las etiquetas - La otra guía de estilo ....
Responder Con Cita
  #19  
Antiguo 15-04-2012
Avatar de roman
roman roman is offline
Moderador
 
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Cita:
Empezado por mamcx Ver Mensaje
El caracter % hace parte del estandar SQL para consultas LIKE. No tiene nada de malo en general, excepto que se puede usar pa una injeccion, pero NUNCA en el caso de usar parametros.

Tener "%algo" no es ningun problema.
¡Vaya! Parece que seguimos esquivos. El caso es que no dan un sólo ejemplo de inyección de código debido al uso de % sin parámetros. He visto algunos ejemplos pero se deben en realidad al uso de apóstrofos. Creo que soy de la opinión de Delphius.

Eso, o simplemente no les parece adecuado compartir sus conocimientos.

// Saludos
Responder Con Cita
  #20  
Antiguo 15-04-2012
Avatar de marcoszorrilla
marcoszorrilla marcoszorrilla is offline
Capo
 
Registrado: may 2003
Ubicación: Cantabria - España
Posts: 11.221
Poder: 10
marcoszorrilla Va por buen camino
He encontrado esto en unos foros:

Delphi - prevent against SQL injection



up vote 16 down vote favorite 1
share [g+] share [fb] share [tw]
I need to protect an application from SQL injection. Application is connecting to Oracle, using ADO, and search for the username and password to make the authentication.
From what I've read until now, the best approach is by using parameters, not assigning the entire SQL as string. Something like this:
query.SQL.Text := 'select * from table_name where name=:Name and id=:ID';
query.Prepare;
query.ParamByName( 'Name' ).AsString := name;
query.ParamByName( 'ID' ).AsInteger := id;
query.Open;
Also, I'm thinking to verify the input from user, and to delete SQL keywords like delete,insert,select,etc...Any input character different than normal ASCII letters and numbers will be deleted.
This will assure me a minimum of security level?
I do not want to use any other components than Delphi 7 standard and Jedi.

sql oracle delphi sql-injection delphi-7





feedback

3 Answers

active oldest votes


up vote 26 down vote accepted
Safe
query.SQL.Text := 'select * from table_name where name=:Name';
This code is safe because you are using parameters.
Parameters are always safe from SQL-injection.
Unsafe
var Username: string;
...
query.SQL.Text := 'select * from table_name where name='+ UserName;
Is unsafe because Username could be name; Drop table_name; Resulting in the following query being executed.
select * from table_name where name=name; Drop table_name;
Also Unsafe
var Username: string;
...
query.SQL.Text := 'select * from table_name where name='''+ UserName+'''';
Because it if username is ' or (1=1); Drop Table_name; -- It will result in the following query:
select * from table_name where name='' or (1=1); Drop Table_name; -- '
But this code is safe
var id: integer;
...
query.SQL.Text := 'select * from table_name where id='+IntToStr(id);
Because IntToStr() will only accept integers so no SQL code can be injected into the query string this way, only numbers (which is exactly what you want and thus allowed)
But I want to do stuff that can't be done with parameters
Parameters can only be used for values. They cannot replace field names or table names. So if you want to execute this query
query:= 'SELECT * FROM :dynamic_table '; {doesn't work}
query:= 'SELECT * FROM '+tableName; {works, but is unsafe}
The first query fails because you cannot use parameters for table or field names.
The second query is unsafe but is the only way this this can be done.
How to you stay safe?
You have to check the string tablename against a list of approved names.
Const
ApprovedTables: array[0..1] of string = ('table1','table2');

procedure DoQuery(tablename: string);
var
i: integer;
Approved: boolean;
query: string;
begin
Approved:= false;
for i:= lo(ApprovedTables) to hi(ApprovedTables) do begin
Approved:= Approved or (lowercase(tablename) = ApprovedTables[i]);
end; {for i}
if not Approved then exit;
query:= 'SELECT * FROM '+tablename;
...
That's the only way to do this, that I know of.
BTW Your original code has an error:
query.SQL.Text := 'select * from table_name where name=:Name where id=:ID';
Should be
query.SQL.Text := 'select * from table_name where name=:Name and id=:ID';
Because you have an error there, you cannot have two where's in one (sub)query

Espero sirva de algo.

Un Saludo.
__________________
Guía de Estilo de los Foros
Cita:
- Ça c'est la caisse. Le mouton que tu veux est dedans.
Responder Con Cita
Respuesta


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Normas de Publicación
no Puedes crear nuevos temas
no Puedes responder a temas
no Puedes adjuntar archivos
no Puedes editar tus mensajes

El código vB está habilitado
Las caritas están habilitado
Código [IMG] está habilitado
Código HTML está deshabilitado
Saltar a Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Aprendiendo a usar Trigger... verito_83mdq MySQL 11 23-02-2011 01:05:13
Aprendiendo juegos de delphi ferra99 Varios 6 29-10-2008 13:47:19
Aprendiendo calistian Varios 4 14-06-2008 22:47:48
Aprendiendo a Aprender Firebird...!!! RK2 Firebird e Interbase 5 12-05-2008 21:11:48
Aprendiendo delphi for php JULIPO PHP 6 21-09-2007 22:19:47


La franja horaria es GMT +2. Ahora son las 18:29:16.


Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi
Copyright 1996-2007 Club Delphi