Re: [pgsql-es-ayuda] Inyecciones de código SQL

2011/6/6 Juan <smalltalker(dot)marcelo(at)gmail(dot)com>:
> Hola gente
>
> Hasta donde se . el sql injection ocurria en las pagians web donde
> se llenaban los campos de texto /( qe luego se utilizarian en queries)
> por ej,.
>
>  el campo dice  nombre:________
> y le pones ' ; delete * from users ' ( sin comillas. el ; es para terminar
> cualquier otro
> statement,y luego viene el daño. el delete)

La inyección de SQL ocurre en aplicaciones que no están bien
programadas programadas, no importando si éstas funcionan en un
servidor web o si son aplicaciones cliente.

> para hacer esto mismo en una base de datos sin acceso a web habria que tener
> acceso y ademas persmisos de ejecucion. o sea
> que sentido tiene "injectar" sql en una base de datos ( o sea store
> procedure)
> si ya tenemos acceso o ya lo ganamos?
> de ser asi se llamaria sql injection? o se llamaria: el tipo entro a la base
> de datos
> y ejecuto lo que quizo?-
> bueno pregunto por si estoy equivocado,. uds que creen?

En este caso no estamos hablando de que alguien haya ganado acceso al
servidor de base de datos, sino de aplicaciones cliente que se
conectan a éste. Ten en cuenta que cuando desarrollas una aplicación,
generalmente no sólo vas a usar consultas SQL, sino probablemente
tengas la necesidad de crear funciones (y disparadores, etc) para
ciertas tareas.

Es cierto tambien que las aplicaciones de cliente están menos
expuestas a ataques externos, pero tu me dirás si es buena idea o no
dejar que un usuario tenga la posibilidad de hacer más cosas de las
que está autorizado.

Saludos
--
Alexander Concha
http://www.buayacorp.com