INYECCION DE CODIGO

Maxi / Gus

Gracias por sus comentarios

Si, en todos los stores donde ejecuto codigo SQL, siempre uso

el problema vino cuando ejecuto XP_CMDSHELL, ya que necesito crear algunas
carpetas y eliminar algunos archivos DOS.

Tomare muy en cuenta sus comentarios.


Saludos
IIslas


"Alejandro Mesa" escribió:

> Isaias,
>
> > 1.- No usar SQL Dinamico
> > R= Casi imposible en nuestros aplicativos
>
> Si vas a usar sql dinamico, te recomiendo que uses siempre sp_executesql

> que lo emplees correctamente. Cuando decimos sql dinamico, nos referimos
> principalmente a la concatenacion de cadenas, unas fijas y otras

> el usuario. Fijate en este ejemplo:
>
> use northwind
> go
>
> select top 1 orderid into dbo.t1 from dbo.orders
> go
>
> create procedure dbo.p1
> @p1 nvarchar(40)
> as
> set nocount on
>
> declare @sql nvarchar(4000)
>
> set @sql = N'select * from dbo.customers where companyname = N''' + @p1

>
> exec sp_executesql @sql
>
> return @@error
> go
>
> create procedure dbo.p2
> @p1 nvarchar(40)
> as
> set nocount on
>
> declare @sql nvarchar(4000)
>
> set @sql = N'select * from dbo.customers where companyname = @p1'
>
> exec sp_executesql @sql, N'@p1 nvarchar(40)', @p1
>
> return @@error
> go
>
> exec dbo.p2 N''';drop table dbo.t1;select '''
> go
>
> exec dbo.p1 N''';drop table dbo.t1;select '''
> go
>
> select * from dbo.t1
> go
>
> drop procedure dbo.p1, dbo.p2
> go
>
> Fijate que al ejecutar dbo.p2, sql server no devuelve ninguna fila ya

> existe ningun customer donde companyname sea igual a N''';drop table
> dbo.t1;select '''. Pero en cambio, cuando ejecutamos dbo.p1, sql server

> retorna ninguna fila porque no existe un customer donde companyname sea

> a cadena vacia '' pero ademas ejecuta "drop table dbo.t1" y la sentencia
> "select ''".
>
> La funcion que te pasaron es util si todas las aplicaciones la usan,

> recuerda que se puede accesar a una base de datos usando otras

> no solo las que ustedes crearon y esto hace que la db quede abierta a
> inyeccion de codigo.
>
>
> AMB
>
> "Isaias" wrote:
>
> > Hola Maxi
> >
> > Pues mira, quien me dio la función fue gente de SEGURIDAD EN

> > mi empresa, en realidad, para cuidar la inyeccion de codigo en mis

> > datos, simplemente hacia un:
> >
> > SET @MyParametroVarchar = REPLACE(@MyParametroVarchar, CHAR(39), '')
> >
> > Y esta funcionando.
> >
> > 1.- No usar SQL Dinamico
> > R= Casi imposible en nuestros aplicativos
> > 2.- Controlar comillas
> > R= Ya lo hago
> > 3.- Manejar PARAMETROS y no EXEC SP's
> > R= Lo voy a comentar con mi area de construccion
> >
> > ¿Como pretenden que lo use?
> >
> > SET @MyParametroVarchar = fn_validatebadcode(@MyParametroVarchar)
> >
> > En donde quiera que reciba un parametro de cadena.
> >
> > Saludos
> > IIslas
> >
> >
> > "Maxi [MVP]" escribió:
> >
> > > Hola, y como la usarias? yo creo que lo mejor en lo que respecta a

> > > es no dejar la injection de codigo, para ello:
> > >
> > > -Evitar sql dinamico
> > > -Controlar las comillas
> > > -Manejar desde la aplicacion parametros y no EXEC SP's
> > >
> > >
> > > Salu2
> > > -
> > > [MVP] SQL Server
> > > Orador para Culminis Latam
> > > www.sqlgurus.org
> > >
> > >
> > >
> > > "Isaias" escribió en el mensaje
> > > news:
> > > > Para evitar la inyeccion de codigo, me han proporcionado esta

> > > > ¿Algun
> > > > comentario?
> > > >
> > > > CREATE FUNCTION dbo.fn_validatebadcode(
> > > > @variable nvarchar(4000)) RETURNS nvarchar(4000) AS
> > > > BEGIN
> > > > DECLARE @return_string nvarchar(4000)
> > > > DECLARE @badChars nvarchar(40)
> > > > DECLARE @badChar varchar(10), @Pos int
> > > >
> > > > SET @badChars = 'select,drop,;,--,insert,delete,xp_,'

> > > > comas
> > > > SET @return_string = @variable
> > > > SET @Pos = CHARINDEX(',', @badChars, 1)
> > > >
> > > > IF REPLACE(@badChars, ',', '') <> ''
> > > > BEGIN
> > > > WHILE @Pos > 0
> > > > BEGIN
> > > > SET @badChar = LTRIM(RTRIM(LEFT(@badChars, @Pos - 1)))
> > > > IF @badChar <> ''
> > > > BEGIN
> > > > SELECT @return_string REPLACE(@return_string,@badChar,'')
> > > > END
> > > >
> > > > SET @badChars = RIGHT(@badChars, LEN(@badChars) - @Pos)
> > > > SET @Pos = CHARINDEX(',', @badChars, 1)
> > > > END
> > > > END
> > > > RETURN @return_string
> > > > END
> > > >
> > > >
> > > > Saludos
> > > > IIslas
> > >
> > >
> > >

Pues si además de intentar quitarte el sql dinámico, intentas evitar
usar xp_cmdshell, tu aplicación será mucho más segura. Te lo digo porque
no
sé qué es más peligroso... Dejar abierto ese procedimiento almacenado es
un
agujero de seguridad tremendo


Un saludo

-
"Sólo sé que no sé nada. " (Sócrates)

"Isaias" escribió en el mensaje
news:
Mostrar la cita

Maxi / Gus

Gracias por sus comentarios

Si, en todos los stores donde ejecuto codigo SQL, siempre uso

SP_EXECUTESQL,
Mostrar la cita

el problema vino cuando ejecuto XP_CMDSHELL, ya que necesito crear
algunas
carpetas y eliminar algunos archivos DOS.

Tomare muy en cuenta sus comentarios.


Saludos
IIslas


"Alejandro Mesa" escribió:

> Isaias,
>
> > 1.- No usar SQL Dinamico
> > R= Casi imposible en nuestros aplicativos
>
> Si vas a usar sql dinamico, te recomiendo que uses siempre
> sp_executesql

y
Mostrar la cita

> que lo emplees correctamente. Cuando decimos sql dinamico, nos
> referimos
> principalmente a la concatenacion de cadenas, unas fijas y otras

entradas por
Mostrar la cita

> el usuario. Fijate en este ejemplo:
>
> use northwind
> go
>
> select top 1 orderid into dbo.t1 from dbo.orders
> go
>
> create procedure dbo.p1
> @p1 nvarchar(40)
> as
> set nocount on
>
> declare @sql nvarchar(4000)
>
> set @sql = N'select * from dbo.customers where companyname = N''' + @p1

+ ''''
Mostrar la cita

>
> exec sp_executesql @sql
>
> return @@error
> go
>
> create procedure dbo.p2
> @p1 nvarchar(40)
> as
> set nocount on
>
> declare @sql nvarchar(4000)
>
> set @sql = N'select * from dbo.customers where companyname = @p1'
>
> exec sp_executesql @sql, N'@p1 nvarchar(40)', @p1
>
> return @@error
> go
>
> exec dbo.p2 N''';drop table dbo.t1;select '''
> go
>
> exec dbo.p1 N''';drop table dbo.t1;select '''
> go
>
> select * from dbo.t1
> go
>
> drop procedure dbo.p1, dbo.p2
> go
>
> Fijate que al ejecutar dbo.p2, sql server no devuelve ninguna fila ya

que no
Mostrar la cita

> existe ningun customer donde companyname sea igual a N''';drop table
> dbo.t1;select '''. Pero en cambio, cuando ejecutamos dbo.p1, sql server

no
Mostrar la cita

> retorna ninguna fila porque no existe un customer donde companyname sea

igual
Mostrar la cita

> a cadena vacia '' pero ademas ejecuta "drop table dbo.t1" y la
> sentencia
> "select ''".
>
> La funcion que te pasaron es util si todas las aplicaciones la usan,

pero
Mostrar la cita

> recuerda que se puede accesar a una base de datos usando otras

aplicaciones,
Mostrar la cita

> no solo las que ustedes crearon y esto hace que la db quede abierta a
> inyeccion de codigo.
>
>
> AMB
>
> "Isaias" wrote:
>
> > Hola Maxi
> >
> > Pues mira, quien me dio la función fue gente de SEGURIDAD EN

INFORMATICA de
Mostrar la cita

> > mi empresa, en realidad, para cuidar la inyeccion de codigo en mis

bases de
Mostrar la cita

> > datos, simplemente hacia un:
> >
> > SET @MyParametroVarchar = REPLACE(@MyParametroVarchar, CHAR(39), '')
> >
> > Y esta funcionando.
> >
> > 1.- No usar SQL Dinamico
> > R= Casi imposible en nuestros aplicativos
> > 2.- Controlar comillas
> > R= Ya lo hago
> > 3.- Manejar PARAMETROS y no EXEC SP's
> > R= Lo voy a comentar con mi area de construccion
> >
> > ¿Como pretenden que lo use?
> >
> > SET @MyParametroVarchar = fn_validatebadcode(@MyParametroVarchar)
> >
> > En donde quiera que reciba un parametro de cadena.
> >
> > Saludos
> > IIslas
> >
> >
> > "Maxi [MVP]" escribió:
> >
> > > Hola, y como la usarias? yo creo que lo mejor en lo que respecta a

seguridad
Mostrar la cita

> > > es no dejar la injection de codigo, para ello:
> > >
> > > -Evitar sql dinamico
> > > -Controlar las comillas
> > > -Manejar desde la aplicacion parametros y no EXEC SP's
> > >
> > >
> > > Salu2
> > > -
> > > [MVP] SQL Server
> > > Orador para Culminis Latam
> > > www.sqlgurus.org
> > >
> > >
> > >
> > > "Isaias" escribió en el mensaje
> > > news:
> > > > Para evitar la inyeccion de codigo, me han proporcionado esta

funcion,
Mostrar la cita

> > > > ¿Algun
> > > > comentario?
> > > >
> > > > CREATE FUNCTION dbo.fn_validatebadcode(
> > > > @variable nvarchar(4000)) RETURNS nvarchar(4000) AS
> > > > BEGIN
> > > > DECLARE @return_string nvarchar(4000)
> > > > DECLARE @badChars nvarchar(40)
> > > > DECLARE @badChar varchar(10), @Pos int
> > > >
> > > > SET @badChars = 'select,drop,;,--,insert,delete,xp_,'

delimitada por
Mostrar la cita

> > > > comas
> > > > SET @return_string = @variable
> > > > SET @Pos = CHARINDEX(',', @badChars, 1)
> > > >
> > > > IF REPLACE(@badChars, ',', '') <> ''
> > > > BEGIN
> > > > WHILE @Pos > 0
> > > > BEGIN
> > > > SET @badChar = LTRIM(RTRIM(LEFT(@badChars, @Pos - 1)))
> > > > IF @badChar <> ''
> > > > BEGIN
> > > > SELECT @return_string > REPLACE(@return_string,@badChar,'')
> > > > END
> > > >
> > > > SET @badChars = RIGHT(@badChars, LEN(@badChars) - @Pos)
> > > > SET @Pos = CHARINDEX(',', @badChars, 1)
> > > > END
> > > > END
> > > > RETURN @return_string
> > > > END
> > > >
> > > >
> > > > Saludos
> > > > IIslas
> > >
> > >
> > >

Exacto!! es mas, en sql2005 lo debes habilitar porque por default no viene
;-)


Salu2
Maxi [MVP SQL SERVER]


"Carlos Sacristán" <csacristanARROBAmvpsPUNTOorg> escribió en el mensaje
news:%
> Pues si además de intentar quitarte el sql dinámico, intentas evitar
> usar xp_cmdshell, tu aplicación será mucho más segura. Te lo digo porque
> no
> sé qué es más peligroso... Dejar abierto ese procedimiento almacenado es
> un
> agujero de seguridad tremendo
>
>
> Un saludo
>
> -
> "Sólo sé que no sé nada. " (Sócrates)
>
> "Isaias" escribió en el mensaje
> news:
>> Maxi / Gus
>>
>> Gracias por sus comentarios
>>
>> Si, en todos los stores donde ejecuto codigo SQL, siempre uso
> SP_EXECUTESQL,
>> el problema vino cuando ejecuto XP_CMDSHELL, ya que necesito crear
>> algunas
>> carpetas y eliminar algunos archivos DOS.
>>
>> Tomare muy en cuenta sus comentarios.
>>
>>
>> Saludos
>> IIslas
>>
>>
>> "Alejandro Mesa" escribió:
>>
>> > Isaias,
>> >
>> > > 1.- No usar SQL Dinamico
>> > > R= Casi imposible en nuestros aplicativos
>> >
>> > Si vas a usar sql dinamico, te recomiendo que uses siempre
>> > sp_executesql
> y
>> > que lo emplees correctamente. Cuando decimos sql dinamico, nos
>> > referimos
>> > principalmente a la concatenacion de cadenas, unas fijas y otras
> entradas por
>> > el usuario. Fijate en este ejemplo:
>> >
>> > use northwind
>> > go
>> >
>> > select top 1 orderid into dbo.t1 from dbo.orders
>> > go
>> >
>> > create procedure dbo.p1
>> > @p1 nvarchar(40)
>> > as
>> > set nocount on
>> >
>> > declare @sql nvarchar(4000)
>> >
>> > set @sql = N'select * from dbo.customers where companyname = N''' + @p1
> + ''''
>> >
>> > exec sp_executesql @sql
>> >
>> > return @@error
>> > go
>> >
>> > create procedure dbo.p2
>> > @p1 nvarchar(40)
>> > as
>> > set nocount on
>> >
>> > declare @sql nvarchar(4000)
>> >
>> > set @sql = N'select * from dbo.customers where companyname = @p1'
>> >
>> > exec sp_executesql @sql, N'@p1 nvarchar(40)', @p1
>> >
>> > return @@error
>> > go
>> >
>> > exec dbo.p2 N''';drop table dbo.t1;select '''
>> > go
>> >
>> > exec dbo.p1 N''';drop table dbo.t1;select '''
>> > go
>> >
>> > select * from dbo.t1
>> > go
>> >
>> > drop procedure dbo.p1, dbo.p2
>> > go
>> >
>> > Fijate que al ejecutar dbo.p2, sql server no devuelve ninguna fila ya
> que no
>> > existe ningun customer donde companyname sea igual a N''';drop table
>> > dbo.t1;select '''. Pero en cambio, cuando ejecutamos dbo.p1, sql server
> no
>> > retorna ninguna fila porque no existe un customer donde companyname sea
> igual
>> > a cadena vacia '' pero ademas ejecuta "drop table dbo.t1" y la
>> > sentencia
>> > "select ''".
>> >
>> > La funcion que te pasaron es util si todas las aplicaciones la usan,
> pero
>> > recuerda que se puede accesar a una base de datos usando otras
> aplicaciones,
>> > no solo las que ustedes crearon y esto hace que la db quede abierta a
>> > inyeccion de codigo.
>> >
>> >
>> > AMB
>> >
>> > "Isaias" wrote:
>> >
>> > > Hola Maxi
>> > >
>> > > Pues mira, quien me dio la función fue gente de SEGURIDAD EN
> INFORMATICA de
>> > > mi empresa, en realidad, para cuidar la inyeccion de codigo en mis
> bases de
>> > > datos, simplemente hacia un:
>> > >
>> > > SET @MyParametroVarchar = REPLACE(@MyParametroVarchar, CHAR(39), '')
>> > >
>> > > Y esta funcionando.
>> > >
>> > > 1.- No usar SQL Dinamico
>> > > R= Casi imposible en nuestros aplicativos
>> > > 2.- Controlar comillas
>> > > R= Ya lo hago
>> > > 3.- Manejar PARAMETROS y no EXEC SP's
>> > > R= Lo voy a comentar con mi area de construccion
>> > >
>> > > ¿Como pretenden que lo use?
>> > >
>> > > SET @MyParametroVarchar = fn_validatebadcode(@MyParametroVarchar)
>> > >
>> > > En donde quiera que reciba un parametro de cadena.
>> > >
>> > > Saludos
>> > > IIslas
>> > >
>> > >
>> > > "Maxi [MVP]" escribió:
>> > >
>> > > > Hola, y como la usarias? yo creo que lo mejor en lo que respecta a
> seguridad
>> > > > es no dejar la injection de codigo, para ello:
>> > > >
>> > > > -Evitar sql dinamico
>> > > > -Controlar las comillas
>> > > > -Manejar desde la aplicacion parametros y no EXEC SP's
>> > > >
>> > > >
>> > > > Salu2
>> > > > -
>> > > > [MVP] SQL Server
>> > > > Orador para Culminis Latam
>> > > > www.sqlgurus.org
>> > > >
>> > > >
>> > > >
>> > > > "Isaias" escribió en el mensaje
>> > > > news:
>> > > > > Para evitar la inyeccion de codigo, me han proporcionado esta
> funcion,
>> > > > > ¿Algun
>> > > > > comentario?
>> > > > >
>> > > > > CREATE FUNCTION dbo.fn_validatebadcode(
>> > > > > @variable nvarchar(4000)) RETURNS nvarchar(4000) AS
>> > > > > BEGIN
>> > > > > DECLARE @return_string nvarchar(4000)
>> > > > > DECLARE @badChars nvarchar(40)
>> > > > > DECLARE @badChar varchar(10), @Pos int
>> > > > >
>> > > > > SET @badChars = 'select,drop,;,--,insert,delete,xp_,'
> delimitada por
>> > > > > comas
>> > > > > SET @return_string = @variable
>> > > > > SET @Pos = CHARINDEX(',', @badChars, 1)
>> > > > >
>> > > > > IF REPLACE(@badChars, ',', '') <> ''
>> > > > > BEGIN
>> > > > > WHILE @Pos > 0
>> > > > > BEGIN
>> > > > > SET @badChar = LTRIM(RTRIM(LEFT(@badChars, @Pos - 1)))
>> > > > > IF @badChar <> ''
>> > > > > BEGIN
>> > > > > SELECT @return_string > > REPLACE(@return_string,@badChar,'')
>> > > > > END
>> > > > >
>> > > > > SET @badChars = RIGHT(@badChars, LEN(@badChars) - @Pos)
>> > > > > SET @Pos = CHARINDEX(',', @badChars, 1)
>> > > > > END
>> > > > > END
>> > > > > RETURN @return_string
>> > > > > END
>> > > > >
>> > > > >
>> > > > > Saludos
>> > > > > IIslas
>> > > >
>> > > >
>> > > >
>
>

Bien, entonces, cambio mi pregunta:

¿Como crear carpetas o ejecutar comandos de DOS desde SQL Server?

Ejemplo:

DIR *.*
DEL \\Server\CarpetaMyArchivo.txt
COPY \\Server\CarpetaMyArchivo.txt \\OtroServer\Carpeta2\*.*

Etc.

Saludos
IIslas


"Maxi" escribió:

Mostrar la cita

Exacto!! es mas, en sql2005 lo debes habilitar porque por default no
viene
;-)


Salu2
Maxi [MVP SQL SERVER]


"Carlos Sacristán" <csacristanARROBAmvpsPUNTOorg> escribió en el mensaje
news:%
> Pues si además de intentar quitarte el sql dinámico, intentas evitar
> usar xp_cmdshell, tu aplicación será mucho más segura. Te lo digo
> porque
> no
> sé qué es más peligroso... Dejar abierto ese procedimiento almacenado
> es
> un
> agujero de seguridad tremendo
>
>
> Un saludo
>
> -
> "Sólo sé que no sé nada. " (Sócrates)
>
> "Isaias" escribió en el mensaje
> news:
>> Maxi / Gus
>>
>> Gracias por sus comentarios
>>
>> Si, en todos los stores donde ejecuto codigo SQL, siempre uso
> SP_EXECUTESQL,
>> el problema vino cuando ejecuto XP_CMDSHELL, ya que necesito crear
>> algunas
>> carpetas y eliminar algunos archivos DOS.
>>
>> Tomare muy en cuenta sus comentarios.
>>
>>
>> Saludos
>> IIslas
>>
>>
>> "Alejandro Mesa" escribió:
>>
>> > Isaias,
>> >
>> > > 1.- No usar SQL Dinamico
>> > > R= Casi imposible en nuestros aplicativos
>> >
>> > Si vas a usar sql dinamico, te recomiendo que uses siempre
>> > sp_executesql
> y
>> > que lo emplees correctamente. Cuando decimos sql dinamico, nos
>> > referimos
>> > principalmente a la concatenacion de cadenas, unas fijas y otras
> entradas por
>> > el usuario. Fijate en este ejemplo:
>> >
>> > use northwind
>> > go
>> >
>> > select top 1 orderid into dbo.t1 from dbo.orders
>> > go
>> >
>> > create procedure dbo.p1
>> > @p1 nvarchar(40)
>> > as
>> > set nocount on
>> >
>> > declare @sql nvarchar(4000)
>> >
>> > set @sql = N'select * from dbo.customers where companyname = N''' +
>> > @p1
> + ''''
>> >
>> > exec sp_executesql @sql
>> >
>> > return @@error
>> > go
>> >
>> > create procedure dbo.p2
>> > @p1 nvarchar(40)
>> > as
>> > set nocount on
>> >
>> > declare @sql nvarchar(4000)
>> >
>> > set @sql = N'select * from dbo.customers where companyname = @p1'
>> >
>> > exec sp_executesql @sql, N'@p1 nvarchar(40)', @p1
>> >
>> > return @@error
>> > go
>> >
>> > exec dbo.p2 N''';drop table dbo.t1;select '''
>> > go
>> >
>> > exec dbo.p1 N''';drop table dbo.t1;select '''
>> > go
>> >
>> > select * from dbo.t1
>> > go
>> >
>> > drop procedure dbo.p1, dbo.p2
>> > go
>> >
>> > Fijate que al ejecutar dbo.p2, sql server no devuelve ninguna fila
>> > ya
> que no
>> > existe ningun customer donde companyname sea igual a N''';drop table
>> > dbo.t1;select '''. Pero en cambio, cuando ejecutamos dbo.p1, sql
>> > server
> no
>> > retorna ninguna fila porque no existe un customer donde companyname
>> > sea
> igual
>> > a cadena vacia '' pero ademas ejecuta "drop table dbo.t1" y la
>> > sentencia
>> > "select ''".
>> >
>> > La funcion que te pasaron es util si todas las aplicaciones la usan,
> pero
>> > recuerda que se puede accesar a una base de datos usando otras
> aplicaciones,
>> > no solo las que ustedes crearon y esto hace que la db quede abierta
>> > a
>> > inyeccion de codigo.
>> >
>> >
>> > AMB
>> >
>> > "Isaias" wrote:
>> >
>> > > Hola Maxi
>> > >
>> > > Pues mira, quien me dio la función fue gente de SEGURIDAD EN
> INFORMATICA de
>> > > mi empresa, en realidad, para cuidar la inyeccion de codigo en mis
> bases de
>> > > datos, simplemente hacia un:
>> > >
>> > > SET @MyParametroVarchar = REPLACE(@MyParametroVarchar, CHAR(39),
>> > > '')
>> > >
>> > > Y esta funcionando.
>> > >
>> > > 1.- No usar SQL Dinamico
>> > > R= Casi imposible en nuestros aplicativos
>> > > 2.- Controlar comillas
>> > > R= Ya lo hago
>> > > 3.- Manejar PARAMETROS y no EXEC SP's
>> > > R= Lo voy a comentar con mi area de construccion
>> > >
>> > > ¿Como pretenden que lo use?
>> > >
>> > > SET @MyParametroVarchar = fn_validatebadcode(@MyParametroVarchar)
>> > >
>> > > En donde quiera que reciba un parametro de cadena.
>> > >
>> > > Saludos
>> > > IIslas
>> > >
>> > >
>> > > "Maxi [MVP]" escribió:
>> > >
>> > > > Hola, y como la usarias? yo creo que lo mejor en lo que respecta
>> > > > a
> seguridad
>> > > > es no dejar la injection de codigo, para ello:
>> > > >
>> > > > -Evitar sql dinamico
>> > > > -Controlar las comillas
>> > > > -Manejar desde la aplicacion parametros y no EXEC SP's
>> > > >
>> > > >
>> > > > Salu2
>> > > > -
>> > > > [MVP] SQL Server
>> > > > Orador para Culminis Latam
>> > > > www.sqlgurus.org
>> > > >
>> > > >
>> > > >
>> > > > "Isaias" escribió en el
>> > > > mensaje
>> > > > news:
>> > > > > Para evitar la inyeccion de codigo, me han proporcionado esta
> funcion,
>> > > > > ¿Algun
>> > > > > comentario?
>> > > > >
>> > > > > CREATE FUNCTION dbo.fn_validatebadcode(
>> > > > > @variable nvarchar(4000)) RETURNS nvarchar(4000) AS
>> > > > > BEGIN
>> > > > > DECLARE @return_string nvarchar(4000)
>> > > > > DECLARE @badChars nvarchar(40)
>> > > > > DECLARE @badChar varchar(10), @Pos int
>> > > > >
>> > > > > SET @badChars = 'select,drop,;,--,insert,delete,xp_,'
> delimitada por
>> > > > > comas
>> > > > > SET @return_string = @variable
>> > > > > SET @Pos = CHARINDEX(',', @badChars, 1)
>> > > > >
>> > > > > IF REPLACE(@badChars, ',', '') <> ''
>> > > > > BEGIN
>> > > > > WHILE @Pos > 0
>> > > > > BEGIN
>> > > > > SET @badChar = LTRIM(RTRIM(LEFT(@badChars, @Pos - 1)))
>> > > > > IF @badChar <> ''
>> > > > > BEGIN
>> > > > > SELECT @return_string >> > REPLACE(@return_string,@badChar,'')
>> > > > > END
>> > > > >
>> > > > > SET @badChars = RIGHT(@badChars, LEN(@badChars) - @Pos)
>> > > > > SET @Pos = CHARINDEX(',', @badChars, 1)
>> > > > > END
>> > > > > END
>> > > > > RETURN @return_string
>> > > > > END
>> > > > >
>> > > > >
>> > > > > Saludos
>> > > > > IIslas
>> > > >
>> > > >
>> > > >
>
>

Bien, entonces, cambio mi pregunta:

¿Como crear carpetas o ejecutar comandos de DOS desde SQL Server?

Ejemplo:

DIR *.*
DEL \\Server\CarpetaMyArchivo.txt
COPY \\Server\CarpetaMyArchivo.txt \\OtroServer\Carpeta2\*.*

Etc.

Saludos
IIslas


"Maxi" escribió:

> Exacto!! es mas, en sql2005 lo debes habilitar porque por default no

> ;-)
>
>
> Salu2
> Maxi [MVP SQL SERVER]
>
>
> "Carlos Sacristán" <csacristanARROBAmvpsPUNTOorg> escribió en el mensaje
> news:%
> > Pues si además de intentar quitarte el sql dinámico, intentas

> > usar xp_cmdshell, tu aplicación será mucho más segura. Te lo digo

> > no
> > sé qué es más peligroso... Dejar abierto ese procedimiento almacenado

> > un
> > agujero de seguridad tremendo
> >
> >
> > Un saludo
> >
> > -
> > "Sólo sé que no sé nada. " (Sócrates)
> >
> > "Isaias" escribió en el mensaje
> > news:
> >> Maxi / Gus
> >>
> >> Gracias por sus comentarios
> >>
> >> Si, en todos los stores donde ejecuto codigo SQL, siempre uso
> > SP_EXECUTESQL,
> >> el problema vino cuando ejecuto XP_CMDSHELL, ya que necesito crear
> >> algunas
> >> carpetas y eliminar algunos archivos DOS.
> >>
> >> Tomare muy en cuenta sus comentarios.
> >>
> >>
> >> Saludos
> >> IIslas
> >>
> >>
> >> "Alejandro Mesa" escribió:
> >>
> >> > Isaias,
> >> >
> >> > > 1.- No usar SQL Dinamico
> >> > > R= Casi imposible en nuestros aplicativos
> >> >
> >> > Si vas a usar sql dinamico, te recomiendo que uses siempre
> >> > sp_executesql
> > y
> >> > que lo emplees correctamente. Cuando decimos sql dinamico, nos
> >> > referimos
> >> > principalmente a la concatenacion de cadenas, unas fijas y otras
> > entradas por
> >> > el usuario. Fijate en este ejemplo:
> >> >
> >> > use northwind
> >> > go
> >> >
> >> > select top 1 orderid into dbo.t1 from dbo.orders
> >> > go
> >> >
> >> > create procedure dbo.p1
> >> > @p1 nvarchar(40)
> >> > as
> >> > set nocount on
> >> >
> >> > declare @sql nvarchar(4000)
> >> >
> >> > set @sql = N'select * from dbo.customers where companyname = N''' +

> > + ''''
> >> >
> >> > exec sp_executesql @sql
> >> >
> >> > return @@error
> >> > go
> >> >
> >> > create procedure dbo.p2
> >> > @p1 nvarchar(40)
> >> > as
> >> > set nocount on
> >> >
> >> > declare @sql nvarchar(4000)
> >> >
> >> > set @sql = N'select * from dbo.customers where companyname = @p1'
> >> >
> >> > exec sp_executesql @sql, N'@p1 nvarchar(40)', @p1
> >> >
> >> > return @@error
> >> > go
> >> >
> >> > exec dbo.p2 N''';drop table dbo.t1;select '''
> >> > go
> >> >
> >> > exec dbo.p1 N''';drop table dbo.t1;select '''
> >> > go
> >> >
> >> > select * from dbo.t1
> >> > go
> >> >
> >> > drop procedure dbo.p1, dbo.p2
> >> > go
> >> >
> >> > Fijate que al ejecutar dbo.p2, sql server no devuelve ninguna fila

> > que no
> >> > existe ningun customer donde companyname sea igual a N''';drop

> >> > dbo.t1;select '''. Pero en cambio, cuando ejecutamos dbo.p1, sql

> > no
> >> > retorna ninguna fila porque no existe un customer donde companyname

> > igual
> >> > a cadena vacia '' pero ademas ejecuta "drop table dbo.t1" y la
> >> > sentencia
> >> > "select ''".
> >> >
> >> > La funcion que te pasaron es util si todas las aplicaciones la

> > pero
> >> > recuerda que se puede accesar a una base de datos usando otras
> > aplicaciones,
> >> > no solo las que ustedes crearon y esto hace que la db quede abierta

> >> > inyeccion de codigo.
> >> >
> >> >
> >> > AMB
> >> >
> >> > "Isaias" wrote:
> >> >
> >> > > Hola Maxi
> >> > >
> >> > > Pues mira, quien me dio la función fue gente de SEGURIDAD EN
> > INFORMATICA de
> >> > > mi empresa, en realidad, para cuidar la inyeccion de codigo en

> > bases de
> >> > > datos, simplemente hacia un:
> >> > >
> >> > > SET @MyParametroVarchar = REPLACE(@MyParametroVarchar, CHAR(39),

> >> > >
> >> > > Y esta funcionando.
> >> > >
> >> > > 1.- No usar SQL Dinamico
> >> > > R= Casi imposible en nuestros aplicativos
> >> > > 2.- Controlar comillas
> >> > > R= Ya lo hago
> >> > > 3.- Manejar PARAMETROS y no EXEC SP's
> >> > > R= Lo voy a comentar con mi area de construccion
> >> > >
> >> > > ¿Como pretenden que lo use?
> >> > >
> >> > > SET @MyParametroVarchar fn_validatebadcode(@MyParametroVarchar)
> >> > >
> >> > > En donde quiera que reciba un parametro de cadena.
> >> > >
> >> > > Saludos
> >> > > IIslas
> >> > >
> >> > >
> >> > > "Maxi [MVP]" escribió:
> >> > >
> >> > > > Hola, y como la usarias? yo creo que lo mejor en lo que

> > seguridad
> >> > > > es no dejar la injection de codigo, para ello:
> >> > > >
> >> > > > -Evitar sql dinamico
> >> > > > -Controlar las comillas
> >> > > > -Manejar desde la aplicacion parametros y no EXEC SP's
> >> > > >
> >> > > >
> >> > > > Salu2
> >> > > > -
> >> > > > [MVP] SQL Server
> >> > > > Orador para Culminis Latam
> >> > > > www.sqlgurus.org
> >> > > >
> >> > > >
> >> > > >
> >> > > > "Isaias" escribió en el

> >> > > > news:
> >> > > > > Para evitar la inyeccion de codigo, me han proporcionado esta
> > funcion,
> >> > > > > ¿Algun
> >> > > > > comentario?
> >> > > > >
> >> > > > > CREATE FUNCTION dbo.fn_validatebadcode(
> >> > > > > @variable nvarchar(4000)) RETURNS nvarchar(4000) AS
> >> > > > > BEGIN
> >> > > > > DECLARE @return_string nvarchar(4000)
> >> > > > > DECLARE @badChars nvarchar(40)
> >> > > > > DECLARE @badChar varchar(10), @Pos int
> >> > > > >
> >> > > > > SET @badChars = 'select,drop,;,--,insert,delete,xp_,'
> > delimitada por
> >> > > > > comas
> >> > > > > SET @return_string = @variable
> >> > > > > SET @Pos = CHARINDEX(',', @badChars, 1)
> >> > > > >
> >> > > > > IF REPLACE(@badChars, ',', '') <> ''
> >> > > > > BEGIN
> >> > > > > WHILE @Pos > 0
> >> > > > > BEGIN
> >> > > > > SET @badChar = LTRIM(RTRIM(LEFT(@badChars, @Pos - 1)))
> >> > > > > IF @badChar <> ''
> >> > > > > BEGIN
> >> > > > > SELECT @return_string > > > REPLACE(@return_string,@badChar,'')
> >> > > > > END
> >> > > > >
> >> > > > > SET @badChars = RIGHT(@badChars, LEN(@badChars) -

> >> > > > > SET @Pos = CHARINDEX(',', @badChars, 1)
> >> > > > > END
> >> > > > > END
> >> > > > > RETURN @return_string
> >> > > > > END
> >> > > > >
> >> > > > >
> >> > > > > Saludos
> >> > > > > IIslas
> >> > > >
> >> > > >
> >> > > >
> >
> >
>
>
>