SQL injection

12/01/2006 - 19:00 por Diego \(DCD\) | Informe spam
Hola,

me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

un saludo y gracias.

Preguntas similare

Leer las respuestas

#1 A.Poblacion
12/01/2006 - 19:04 | Informe spam
"Diego (DCD)" wrote in message
news:
me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.



Una forma de evitarlos es parametrizando siempre tus consultas SQL, en
lugar de concatenarles los datos introducidos por el usuario. Por ejemplo,
si estás usando una consulta como esta:

string sentencia = "Select * from Clientes where
Ciudad='"+txtCiudad.Text+"'";
SqlCommand cmd=new SqlCommand(sentencia, conexion);

corres el riesgo de que te inyecten SQL tecleándolo en el textbox
txtCiudad. Para evitarlo, parametrízala asi:

string sentencia = "Select * from Clientes where Ciudad=@Ciudad";
SqlCommand cmd=new SqlCommand(sentencia, conexion);
cmd.Parameters.Add("@Ciudad", txtCiudad.Text);
Respuesta Responder a este mensaje
#2 Octavio Hernandez
12/01/2006 - 19:51 | Informe spam
Diego,

En la Wikipedia hay una buena definición:

http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Yo creo que lo esencial es VALIDAR SIEMPRE A CONCIENCIA LOS DATOS QUE TE
SUMINISTRA EL USUARIO. Los validadores de ASP.NET pueden ayudar mucho en
eso, fíjate que puedes desactivar su funcionamiento del lado cliente pero no
del lado del servidor. Y por supuesto, utilizar SQL parametrizado en lugar
de SQL dinámico como dice Alberto siempre que sea posible.

Salu2 - Octavio

"Diego (DCD)" escribió en el mensaje
news:
Hola,

me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

un saludo y gracias.


Respuesta Responder a este mensaje
#3 Marino Posadas
12/01/2006 - 21:23 | Informe spam
Pues yo también me animo y digo algo...))

En el curso 2771B oficial de Microsoft "Curso de directrices de seguridad
para desarrolladores", tienes un capítulo dedicado a ese tema, si te
interesa una "visión oficial" -digamos- del asunto. En el pasado Tech-Ed
2005, además, tuve ocasión de asistir a una ponencia preciosa de Jesper
Johansson "Anatomy of a Network Hack: How to Get Your Network Hacked in 10
Easy Steps" en la que se hacía con el control total de un sistema basándose
en SLQ-Injection.


Saludos cordiales
Marino Posadas
MVP Visual C#

www.ElAveFenix.net

"Diego (DCD)" escribió en el mensaje
news:
Hola,

me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

un saludo y gracias.


Respuesta Responder a este mensaje
#4 Octavio Hernandez
12/01/2006 - 21:55 | Informe spam
¡Qué tal, Marino!

¡Muy buena referencia! Usted como siempre, destilando conocimiento... Me
llamó la atención eso de poder hacerse con el control total del sistema y
busqué en Google, encontré un artículo de Johansson donde que describe la
técnica:

http://www.microsoft.com/technet/te...fault.aspx

A ver si nos vemos pronto por ahí.

Salu2 - Octavio

"Marino Posadas" escribió en el mensaje
news:
Pues yo también me animo y digo algo...))

En el curso 2771B oficial de Microsoft "Curso de directrices de seguridad
para desarrolladores", tienes un capítulo dedicado a ese tema, si te
interesa una "visión oficial" -digamos- del asunto. En el pasado Tech-Ed
2005, además, tuve ocasión de asistir a una ponencia preciosa de Jesper
Johansson "Anatomy of a Network Hack: How to Get Your Network Hacked in 10
Easy Steps" en la que se hacía con el control total de un sistema
basándose en SLQ-Injection.


Saludos cordiales
Marino Posadas
MVP Visual C#

www.ElAveFenix.net

"Diego (DCD)" escribió en el mensaje
news:
Hola,

me gustaría saber si alguien tiene información de cómo evitar este
tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

un saludo y gracias.






Respuesta Responder a este mensaje
#5 Marino Posadas
13/01/2006 - 00:30 | Informe spam
¡Hola Octavio!

Pues mira, le voy a proponer a Paco Marín, que hagamos algo para celebrar
los dos primeros años de la revista "DotNetMania", y con lo que sea te
cuento.

Por cierto, muy bueno el enlace, por que es -justamente- un resumen de todo
lo que hizo Johansson en la conferencia.

Nos vemos.

Saludos cordiales
Marino Posadas
MVP Visual C#

www.ElAveFenix.net


"Octavio Hernandez" escribió en el mensaje
news:
¡Qué tal, Marino!

¡Muy buena referencia! Usted como siempre, destilando conocimiento... Me
llamó la atención eso de poder hacerse con el control total del sistema y
busqué en Google, encontré un artículo de Johansson donde que describe la
técnica:


http://www.microsoft.com/technet/te...fault.aspx

A ver si nos vemos pronto por ahí.

Salu2 - Octavio

"Marino Posadas" escribió en el mensaje
news:
Pues yo también me animo y digo algo...))

En el curso 2771B oficial de Microsoft "Curso de directrices de seguridad
para desarrolladores", tienes un capítulo dedicado a ese tema, si te
interesa una "visión oficial" -digamos- del asunto. En el pasado Tech-Ed
2005, además, tuve ocasión de asistir a una ponencia preciosa de Jesper
Johansson "Anatomy of a Network Hack: How to Get Your Network Hacked in
10 Easy Steps" en la que se hacía con el control total de un sistema
basándose en SLQ-Injection.


Saludos cordiales
Marino Posadas
MVP Visual C#

www.ElAveFenix.net

"Diego (DCD)" escribió en el mensaje
news:
Hola,

me gustaría saber si alguien tiene información de cómo evitar este
tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

un saludo y gracias.










Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida