[OT] Inyeccion de SQL en Access

Yo solía limitar el qué me podían introducir en el front-end.

Imagina esta SQL accediendo a Access a través de ADO, por ejemplo, en una
página ASP:

strSQL = "SELECT ID FROM USUARIOS WHERE NOMBRE='" & strUsuario & "' AND
CLAVE='" & strClave & "'"

Si el usuario introduce como usuario y como contraseña lo siguiente:
' OR 'a'='a

Consigue debilitar la cláusula WHERE de la sentencia SQL, por lo que será lo
mismo que un SELECT ID FROM USUARIOS.

Este es un ejemplo de SQL Injection con Páginas ASP accediendo a MS
Access... por ello, cuanto más limites la entrada en tu aplicación, mejor.
En este ejemplo, se podría limitar a caracteres numéricos y alfanuméricos,
excluyendo símbolos y sobre todo ' y ".

Saludos,

Guillermo Roldán
MCDBA, MCSE, MCSA
Madrid - Spain


"Alberto D." escribió en el mensaje
news:#
Mostrar la cita

Hola desculpen por el OT,

Tengo que hacer una aplicacion con Access 2000, alguien sabe
como puedo validar inyeccion de SQL, o si es posible hacer esa
inyeccion en Access??

En Sql 2000 me protego haciendolo con stores procedures, o en el caso
de que ejecute querys, busco el simbolo de comentario "--", pero en
access no se cual sea el simbolo de comentario, y no se si se puedan hacer
stores procedure..

Muchas gracias !!

Muchas gracias Guillermo !!


"Guillermo Roldán" escribió en el
mensaje news:
Mostrar la cita

Yo solía limitar el qué me podían introducir en el front-end.

Imagina esta SQL accediendo a Access a través de ADO, por ejemplo, en una
página ASP:

strSQL = "SELECT ID FROM USUARIOS WHERE NOMBRE='" & strUsuario & "' AND
CLAVE='" & strClave & "'"

Si el usuario introduce como usuario y como contraseña lo siguiente:
' OR 'a'='a

Consigue debilitar la cláusula WHERE de la sentencia SQL, por lo que será

lo
Mostrar la cita

mismo que un SELECT ID FROM USUARIOS.

Este es un ejemplo de SQL Injection con Páginas ASP accediendo a MS
Access... por ello, cuanto más limites la entrada en tu aplicación, mejor.
En este ejemplo, se podría limitar a caracteres numéricos y alfanuméricos,
excluyendo símbolos y sobre todo ' y ".

Saludos,

Guillermo Roldán
MCDBA, MCSE, MCSA
Madrid - Spain


"Alberto D." escribió en el mensaje
news:#
> Hola desculpen por el OT,
>
> Tengo que hacer una aplicacion con Access 2000, alguien sabe
> como puedo validar inyeccion de SQL, o si es posible hacer esa
> inyeccion en Access??
>
> En Sql 2000 me protego haciendolo con stores procedures, o en el caso
> de que ejecute querys, busco el simbolo de comentario "--", pero en
> access no se cual sea el simbolo de comentario, y no se si se puedan

hacer
Mostrar la cita

> stores procedure..
>
> Muchas gracias !!
>
>
>
>

Creo que lo mejor es pensar que el usuario es el diablo y dejar hacer esto
al propio sistema usando técnicas como el que dice este artículo
http://www.configuracionesintegrale...p?articulo'3

Por cierto, buscar los comentarios no es suficiente para evitar una
inyección de código sql, tenlo en cuenta.

-
Miguel Egea Gómez
Microsoft SQL-Server MVP
Webmaster de PortalSql.Com
¿Te interesa participar en las reuniones
del grupo de Usuarios de SQL-Server y .NET
Se harán en levante de España, (Alicante o Murcia)?

"Guillermo Roldán" escribió en el
mensaje news:
Mostrar la cita

Yo solía limitar el qué me podían introducir en el front-end.

Imagina esta SQL accediendo a Access a través de ADO, por ejemplo, en una
página ASP:

strSQL = "SELECT ID FROM USUARIOS WHERE NOMBRE='" & strUsuario & "' AND
CLAVE='" & strClave & "'"

Si el usuario introduce como usuario y como contraseña lo siguiente:
' OR 'a'='a

Consigue debilitar la cláusula WHERE de la sentencia SQL, por lo que será
lo
mismo que un SELECT ID FROM USUARIOS.

Este es un ejemplo de SQL Injection con Páginas ASP accediendo a MS
Access... por ello, cuanto más limites la entrada en tu aplicación, mejor.
En este ejemplo, se podría limitar a caracteres numéricos y alfanuméricos,
excluyendo símbolos y sobre todo ' y ".

Saludos,

Guillermo Roldán
MCDBA, MCSE, MCSA
Madrid - Spain


"Alberto D." escribió en el mensaje
news:#
Mostrar la cita

Hola desculpen por el OT,

Tengo que hacer una aplicacion con Access 2000, alguien sabe
como puedo validar inyeccion de SQL, o si es posible hacer esa
inyeccion en Access??

En Sql 2000 me protego haciendolo con stores procedures, o en el caso
de que ejecute querys, busco el simbolo de comentario "--", pero en
access no se cual sea el simbolo de comentario, y no se si se puedan
hacer
stores procedure..

Muchas gracias !!