Professional Documents
Culture Documents
INTEGRANTES:
DIEGO PAZMIO
JONATHAN MORETA
Consiste en la insercin de cdigo SQL por medio de los datos de entrada desde la parte
del cliente hacia la aplicacin. Es decir, por medio de la insercin de este cdigo el
atacante puede modificar las consultar originales que debe realizar la aplicacin y
ejecutar otras totalmente distintas con la intencin de acceder a la herramienta, obtener
informacin de alguna de las tablas o borrar los datos almacenados, entre otras muchas
cosas.
Como consecuencias de estos ataques y dependiendo de los privilegios que tenga el
usuario de la base de datos bajo el que se ejecutan las consultas, se podra acceder no
slo a las tablas relacionadas con la aplicacin, sino tambin a otras tablas
pertenecientes a otras bases de datos alojadas en ese mismo servidor.
DEFENSAS AL ATAQUE SQL
Dentro de SQL
El principal problema de estos ataques es que si dejamos que el usuario del programa
introduzca libremente caracteres sin control ninguno (mediante formularios, por
ejemplo) puede llegar a aprovecharse de las comillas (simples y dobles con las que
declaramos cadenas de texto o strings).
Mediante PHP
En PHP tenemos
varias
formas
de
hacerlo,
entre
ellas
para
bases
de
Mediante .NET
En .NET evitaremos la inyeccin en SQL Server (con C#) estableciendo el tipo de
parmetro como literal con SqlDbType.VarChar.