Club Delphi  
    FTP   CCD     Buscar   Trucos   Trabajo   Foros

Retroceder   Foros Club Delphi > Principal > SQL
Registrarse FAQ Miembros Calendario Guía de estilo Buscar Temas de Hoy Marcar Foros Como Leídos

Respuesta
 
Herramientas Buscar en Tema Desplegado
  #1  
Antiguo 13-07-2004
hogol hogol is offline
Miembro
 
Registrado: jul 2003
Posts: 62
Poder: 21
hogol Va por buen camino
ataques de inyección de sql

En otro hilo habeis mencionado los ataques de inyección de sql, cosa de la que nunca había oido hablar... podriais explicar en que consisten y de que manera se pueden evitar?

Un saludo y gracias
Hogol
Responder Con Cita
  #2  
Antiguo 13-07-2004
Avatar de jachguate
jachguate jachguate is offline
Miembro
 
Registrado: may 2003
Ubicación: Guatemala
Posts: 6.254
Poder: 27
jachguate Va por buen camino
Un ataque de inyección de SQL es aquel que, aprovechando el descuido del programador, puede permitir a un usuario obtener datos (o permisos) a los que regularmente no tendría acceso.

Es un caso típico de atención (y estudio) para quienes desarrollan aplicaciones web, aunque es de tener en cuenta en todos los ambientes.

Suponé que tenes en tu aplicación una forma para ingreso de usuario y password, y que luego validas el usuario con sentencia del tipo:

Código Delphi [-]
  query1.sql.clear;
  query1.sql.add('Select count(*) contador from usuario where id = ''' + 
    edit1.text + ''' and password = ''' + edit2.text '''';
  query1.Open;
  try
    TieneAcceso := query1.parambyname('contador').AsInteger > 0;
  finally
    query1.Close;
  end;

Todo luce perfecto, ¿no?

Que pasa ahora si un usuario listillo te introduce en las casillas:

Edit1.text: juan
Edit2.text (password): nolose' or 1=1

repasemos la sentencia SQL que se generaría... que sería:

Código SQL [-]
Select Count(*) contador 
from usuario 
where id = 'juan'
and password = 'nolose' or 1=1

Este es un caso exitoso (para el atacante, claro ) de inyección de SQL puesto que la sentencia devolverá tantos registros como usuarios existen en la base de datos.

Asi, cualquier persona con el ingenio suficiente, violaría la seguridad de tu sistema.

Te decia que requiere atención especial en el desarrollo web (tipo php) puesto que es un ambiente menos controlado que el empresarial y es muy común encontrar crackers tratando de valerse de inyección SQL de este tipo para tener acceso a recursos de tus servidores, ya sea con el fin de aprovecharlos o bien con fines destructivos.

En fin... no me extenderé mas, espero haber aclarado un poco la situación.

Hasta luego.

__________________
Juan Antonio Castillo Hernández (jachguate)
Guía de Estilo | Etiqueta CODE | Búsca antes de preguntar | blog de jachguate
Responder Con Cita
  #3  
Antiguo 13-07-2004
hogol hogol is offline
Miembro
 
Registrado: jul 2003
Posts: 62
Poder: 21
hogol Va por buen camino
Hola jachguate

Me ha quedado perfectamente claro, gracias por tu explicación.
La conclusión a la que llego siempre que me entero de cosas así es que si la gente gastase la mitad de tiempo en ayudar a la gente en vez de dedicarse a fastidiarla... bueno, creo que el mundo iria mucho pero que mucho mejor.

Hogol
Responder Con Cita
  #4  
Antiguo 17-10-2011
Avatar de DarkBlue
DarkBlue DarkBlue is offline
Miembro
 
Registrado: jun 2010
Posts: 105
Poder: 14
DarkBlue Va por buen camino
disculpen esto solo afecta a programacion web? afecta delphi?
__________________
Todo es Relativo
Responder Con Cita
  #5  
Antiguo 17-10-2011
Avatar de jachguate
jachguate jachguate is offline
Miembro
 
Registrado: may 2003
Ubicación: Guatemala
Posts: 6.254
Poder: 27
jachguate Va por buen camino
En mi opinion, afecta a todos.

Entre mayor sea la difusión del software mayor sera el riesgo de sufrir un ataque (de manera mas o menos exponencial).

Las tecnicas para prevenirlo son sencillas, por lo que en mi opinion, siempre podemos hacer sofware que no sea vulnerable a este tipo de ataque desde el principio.

Por ejemplo, cuesta mas o menos lo mismo escribir una sentencia que construya sql concatenando cadenas que constreir un sql parametrizado y asignarle los valores.

Un saludo.
__________________
Juan Antonio Castillo Hernández (jachguate)
Guía de Estilo | Etiqueta CODE | Búsca antes de preguntar | blog de jachguate
Responder Con Cita
  #6  
Antiguo 18-10-2011
Avatar de Casimiro Notevi
Casimiro Notevi Casimiro Notevi is offline
Moderador
 
Registrado: sep 2004
Ubicación: En algún lugar.
Posts: 32.021
Poder: 10
Casimiro Notevi Tiene un aura espectacularCasimiro Notevi Tiene un aura espectacular
Cita:
Empezado por DarkBlue Ver Mensaje
disculpen esto solo afecta a programacion web? afecta delphi?
Eso afecta a todo, evidentemente.
Sólo que si es un software instalado en una empresa entonces afectará sólo a esa empresa.

Edito: se me adelantó jachguate. ¡¡¡Saludos!!!
Responder Con Cita
Respuesta


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Normas de Publicación
no Puedes crear nuevos temas
no Puedes responder a temas
no Puedes adjuntar archivos
no Puedes editar tus mensajes

El código vB está habilitado
Las caritas están habilitado
Código [IMG] está habilitado
Código HTML está deshabilitado
Saltar a Foro


La franja horaria es GMT +2. Ahora son las 00:10:24.


Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi
Copyright 1996-2007 Club Delphi