Menéame: comentarios [2067013]

#28 ¿Quién descubrió las inyecciones de código SQL?

prejudice — Mon, 02 Dec 2013 17:43:46 +0000

#27 Llevas razón, creo que podría haber resumido mi comentario usando solo las primeras 5 palabras.

» autor: prejudice

#27 ¿Quién descubrió las inyecciones de código SQL?

--128651-- — Mon, 02 Dec 2013 17:28:56 +0000

#23 NO estoy hablando de mapeado objeto-relacional, sino solo y exclusivamente de escapado de queries para que no te metan un DROP TABLE por ahí en medio.

El resto de tu comentario es simple pedantería.

» autor: --128651--

#26 ¿Quién descubrió las inyecciones de código SQL?

CTprovincia — Mon, 02 Dec 2013 12:48:13 +0000

#25 ¡Jamás! ¡Yo nunca la he usado ni la usaré! Solo lo he visto por ahí ... y si es verdad que funcina.

» autor: CTprovincia

#25 ¿Quién descubrió las inyecciones de código SQL?

lecter23 — Mon, 02 Dec 2013 11:03:30 +0000

#24 Pide perdón por la solución que acabas de aportar!

» autor: lecter23

#24 ¿Quién descubrió las inyecciones de código SQL?

CTprovincia — Mon, 02 Dec 2013 09:46:34 +0000

Es muy común en las páginas que requieren pasar alguna cadena, esto suele ocurrir en páginas con login o con búsquedas por texto.

Cuando son números, es muy fácil de evitar una "inyección", cuando es texto, no medida infalible (según los expertos), pero de momento, hay que evitar meter la variable que se "pasa" directamente, es de sentido común que veas que es lo que te estás "comiendo".

Hay gente que lee la cadena y excluye cualquier cosa que tenga las palabras "Delete", "Drop", "Insert", ... es muy drástico, pero funciona.

» autor: CTprovincia

#23 ¿Quién descubrió las inyecciones de código SQL?

prejudice — Mon, 02 Dec 2013 08:32:27 +0000

#22 todos los lenguajes de programación ya traen bibliotecas estándar para hacer algo así!!!

¿Te refieres a los ORM's como Doctrine (PHP), SqlAlchemy (Python), Hibernate (Java), etc ?
¿ O te refieres a cosas mas "rudimentarias" como la clase QSqlQuery ( qt-project.org/doc/qt-4.8/qsqlquery.html ) de las librerias Qt4, que permite construir consultas pero carece de mapeado objecto-relacional ?

» autor: prejudice

#22 ¿Quién descubrió las inyecciones de código SQL?

--128651-- — Sun, 01 Dec 2013 00:33:28 +0000

#18 #19 Por favor, enlaces a esos sitios!!!

Lo que me sigue pareciendo increíble hoy en día, e incluso lo he visto alguna vez en la gente con la que trabajo, es que sigan existiendo las inyecciones SQL con lo sencillísimo que es crear las sentencias predeterminadas y luego rellenar las variables.

Joder, si todos los lenguajes de programación ya traen bibliotecas estándar para hacer algo así!!!

Aclaro: Lo que he visto en mi trabajo es gente haciendo esto:
String var = input();
String consulta = "Select * FROM Usuarios Where ID="+var;

Una auténtica atrocidad...

» autor: --128651--

#21 ¿Quién descubrió las inyecciones de código SQL?

--52368-- — Sun, 01 Dec 2013 00:20:13 +0000

[Usuario deshabilitado]

» autor: --52368--

#20 ¿Quién descubrió las inyecciones de código SQL?

--386679-- — Sat, 30 Nov 2013 23:01:33 +0000

chema ha subido justo hoy un video sobre el mismo tema que el artículo, ameno como siempre, deberia hacerse un vlog este tío...
www.youtube.com/watch?v=uztDGRR_hC8

» autor: --386679--

#19 ¿Quién descubrió las inyecciones de código SQL?

delawen — Sat, 30 Nov 2013 21:29:20 +0000

#18 Pero nunca superará a las comprobaciones de contraseña dentro del mismo javascript. Eso sí que es seguridad.

» autor: delawen

#18 ¿Quién descubrió las inyecciones de código SQL?

viktor77 — Sat, 30 Nov 2013 21:25:57 +0000

#17 El otro día vi una web en la que al enviar un formulario el query MYSQL lo generaba en el cliente y lo enviaba al servidor con una petición POST. Impresionante

» autor: viktor77

#17 ¿Quién descubrió las inyecciones de código SQL?

chulonsky — Sat, 30 Nov 2013 20:08:38 +0000

Qué casualidad, el SQL inyection apareció mas o menos al mismo tiempo que las grandes empresas empezaron a utilizar becarios como programadores.

» autor: chulonsky

#16 ¿Quién descubrió las inyecciones de código SQL?

AdobeWanKenobi — Sat, 30 Nov 2013 18:52:15 +0000

De pura casualidad, vaya.

» autor: AdobeWanKenobi

#15 ¿Quién descubrió las inyecciones de código SQL?

--214250-- — Sat, 30 Nov 2013 18:45:07 +0000

Algún yonki seguro.

matadme por favor

» autor: --214250--

#14 ¿Quién descubrió las inyecciones de código SQL?

--280860-- — Sat, 30 Nov 2013 18:42:49 +0000

#3 ¿Ya te aburriste de tu amor platonico?

» autor: --280860--

#13 ¿Quién descubrió las inyecciones de código SQL?

Penetrator — Sat, 30 Nov 2013 18:37:17 +0000

#7 Dispositivo antirradar basado en SQL injection:

» autor: Penetrator

#12 ¿Quién descubrió las inyecciones de código SQL?

alexwing — Sat, 30 Nov 2013 18:24:57 +0000

#11 He incluso antes, no solo es un problema de sitios webs, cualquier aplicación de gestión que use base de datos podría verse comprometida.

» autor: alexwing

#11 ¿Quién descubrió las inyecciones de código SQL?

Sofrito — Sat, 30 Nov 2013 18:11:24 +0000

No creo que sea correcto decir quién las descubrió, sino quién les dio nombre. Las inyecciones SQL las descubre cualquier buen programador en menos de 15 minutos. Por tanto, fueron conocidas en el mismo instante en el que el lenguaje SQL se usó para hacer sitios webs.

» autor: Sofrito

#10 ¿Quién descubrió las inyecciones de código SQL?

arivero — Sat, 30 Nov 2013 17:57:58 +0000

Yo siempre habia asumido que eran una evolucion natural de la inyeccion de codigo en los scripts de la shell de unix. Las comillas de ejecucion, vamos. Que el primer ebook que tuve todavia lo desprotegi con ellas, porque aunque filtraban las comillas, se les olvido que dolar+parentesis en bash tiene el mismo uso.

» autor: arivero

#9 ¿Quién descubrió las inyecciones de código SQL?

--301232-- — Sat, 30 Nov 2013 17:41:21 +0000

No usar variables enlazadas (binded vars) en las consultas: Oh, esto sí que es golpe de remo.

» autor: --301232--

#8 ¿Quién descubrió las inyecciones de código SQL?

sotanez — Sat, 30 Nov 2013 17:09:03 +0000

Yo diría que las más obvias a cualquiera con un poco de malicia.

» autor: sotanez

#7 ¿Quién descubrió las inyecciones de código SQL?

--397760-- — Sat, 30 Nov 2013 15:48:27 +0000

[Usuario deshabilitado]

» autor: --397760--

#6 ¿Quién descubrió las inyecciones de código SQL?

ccguy — Fri, 29 Nov 2013 12:52:18 +0000

#4 Al contrario, quitaron el WHERE. Por ejemplo metiendo en algún cambio del formulario algo tipo

' OR TRUE ; --

» autor: ccguy

#5 ¿Quién descubrió las inyecciones de código SQL?

CTprovincia — Fri, 29 Nov 2013 12:40:10 +0000

No se, ¿tu madre?

» autor: CTprovincia

#4 ¿Quién descubrió las inyecciones de código SQL?

sorrillo — Fri, 29 Nov 2013 12:17:22 +0000

Yo apuesto por el mismo que se olvido de poner el where en el delete from.

» autor: sorrillo

#3 ¿Quién descubrió las inyecciones de código SQL?

--170126-- — Fri, 29 Nov 2013 12:07:56 +0000

[Usuario deshabilitado]

» autor: --170126--

#2 ¿Quién descubrió las inyecciones de código SQL?

--13404-- — Fri, 29 Nov 2013 12:05:44 +0000

#1 Reptiliano, seguro, como Sara Carbonero

» autor: --13404--

#1 ¿Quién descubrió las inyecciones de código SQL?

--170126-- — Fri, 29 Nov 2013 12:01:55 +0000

[Usuario deshabilitado]

» autor: --170126--