| From: | Álvaro Hernández Tortosa <aht(at)Nosys(dot)es> |
|---|---|
| To: | felix gonzales <jfgonzales(at)gmail(dot)com> |
| Cc: | Jaime Casanova <jaime(at)2ndquadrant(dot)com>, Marcos Ortiz <mlortiz(at)uci(dot)cu>, pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: procesos ocupan el total de la RAM |
| Date: | 2011-07-06 14:53:29 |
| Message-ID: | 20110706145329.GF12026@nosys.net |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Wed, Jul 06, 2011 at 09:48:24AM -0500, felix gonzales escribió:
>gracias Alvaro.. desde nuestra aplicación solo pueden aplicar el "SELECT
>...... WHERE ....." mas no otras instrucciones.
Lo cual es lo mismo que decir que pueden ejecutar absolutamente
todo... salvo que tengas filtros que eliminen SQL de lo que introducen,
y eso no es nada fácil...
¿Si en el ______ de la derecha del WHERE se escribe algo similar
a:
1=1; DROP TABLE zzzz;
¿qué sucede? (y variaciones sobre lo anterior, claro... como incluir
subselects que borren/actualicen... es sencillo -lo cual funcionaría aun
permitiendo la ejecución de una única sentencia)
Mucho cuidado...
Saludos,
Álvaro
--
Álvaro Hernández Tortosa
-----------
NOSYS
Networked Open SYStems
| From | Date | Subject | |
|---|---|---|---|
| Next Message | felix gonzales | 2011-07-06 15:09:54 | Re: procesos ocupan el total de la RAM |
| Previous Message | felix gonzales | 2011-07-06 14:48:24 | Re: procesos ocupan el total de la RAM |