From: | felix gonzales <jfgonzales(at)gmail(dot)com> |
---|---|
To: | Álvaro Hernández <aht(at)nosys(dot)es> |
Cc: | Jaime Casanova <jaime(at)2ndquadrant(dot)com>, Marcos Ortiz <mlortiz(at)uci(dot)cu>, pgsql-es-ayuda(at)postgresql(dot)org |
Subject: | Re: procesos ocupan el total de la RAM |
Date: | 2011-07-06 15:09:54 |
Message-ID: | CA+u4V5QHf+2JAfncjzuymd53_Ncvuor7XvbhazjXJzWQ8h5=cQ@mail.gmail.com |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-es-ayuda |
la aplicación cierra el WHERE con un "AND depe_id=xxxx" , es probable que
se inserte otro código, pero hasta la fecha no hemos tenido problemas de ese
tipo, (claro que tenemos que afinar ello) pero por ahora necesitamos saber
si postgres requiere de mucho esfuerzo para detectar "errores de sintaxis".
2011/7/6 Álvaro Hernández <aht(at)nosys(dot)es>
> Wed, Jul 06, 2011 at 09:48:24AM -0500, felix gonzales escribió:
>
> >gracias Alvaro.. desde nuestra aplicación solo pueden aplicar el "SELECT
> >...... WHERE ....." mas no otras instrucciones.
>
> Lo cual es lo mismo que decir que pueden ejecutar absolutamente
> todo... salvo que tengas filtros que eliminen SQL de lo que introducen,
> y eso no es nada fácil...
>
> ¿Si en el ______ de la derecha del WHERE se escribe algo similar
> a:
>
> 1=1; DROP TABLE zzzz;
>
> ¿qué sucede? (y variaciones sobre lo anterior, claro... como incluir
> subselects que borren/actualicen... es sencillo -lo cual funcionaría aun
> permitiendo la ejecución de una única sentencia)
>
>
> Mucho cuidado...
>
> Saludos,
>
> Álvaro
>
>
> --
>
> Álvaro Hernández Tortosa
>
>
> -----------
> NOSYS
> Networked Open SYStems
>
--
Felix Gonzales
From | Date | Subject | |
---|---|---|---|
Next Message | Jaime Casanova | 2011-07-06 15:25:03 | Re: procesos ocupan el total de la RAM |
Previous Message | Álvaro Hernández Tortosa | 2011-07-06 14:53:29 | Re: procesos ocupan el total de la RAM |