| From: | Alvaro Herrera <alvherre(at)dcc(dot)uchile(dot)cl> |
|---|---|
| To: | agrimas <agrimas(at)ecogas(dot)com(dot)ar> |
| Cc: | pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: BackSlash y Sybase |
| Date: | 2004-10-28 12:30:41 |
| Message-ID: | 20041028123041.GA4200@dcc.uchile.cl |
| Views: | Whole Thread | Raw Message | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
On Thu, Oct 28, 2004 at 09:11:06AM -0300, agrimas wrote:
> Lo que me preocupa es que si por alguna casualidad el usuario agrega
> datos con \ (carácter de escape), lo tomara como tal, esto implica que
> en todos mis abm's (sobre todo almomento del update o el insert) de
> datos tendre que aplicar alguna "funcionalidad" para reemplazar dicho
> carácter por algun otro.
Eso siempre tienes que hacerlo, es una medida minima de seguridad.
Considera lo que sucede si el usuario ingresa en un campo de nombre
pepito'; delete from clientes; select 'hola
Esta clase de vulnerabilidades se llama "sql injection", y salen
anuncios de programas vulnerables con demasiada frecuencia. Tienes que
escapar los ' y los \
Otra vulnerabilidad de la que tienes que protegerte es cross-site
scripting; en este caso es incorporar HTML maliciosamente.
--
Alvaro Herrera (<alvherre[a]dcc.uchile.cl>)
"No hay ausente sin culpa ni presente sin disculpa" (Prov. francés)
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Leonel Nunez | 2004-10-28 14:18:41 | Re: Distro |
| Previous Message | agrimas | 2004-10-28 12:11:06 | RE: BackSlash y Sybase |