Foros del Web » Programación para mayores de 30 ;) » Bases de Datos General » Mysql »

Evitar inyecciones SQL a traves de la URL

Estas en el tema de Evitar inyecciones SQL a traves de la URL en el foro de Mysql en Foros del Web. Dos dudas: 1. ¿Las inyecciones SQL por URL puede modificar una tabla o base de datos, o sólo muestra los registros pedidos por la URL ...
  #1 (permalink)  
Antiguo 21/12/2011, 10:21
 
Fecha de Ingreso: febrero-2011
Mensajes: 233
Antigüedad: 13 años, 10 meses
Puntos: 4
Pregunta Evitar inyecciones SQL a traves de la URL

Dos dudas:

1. ¿Las inyecciones SQL por URL puede modificar una tabla o base de datos, o sólo muestra los registros pedidos por la URL en la página? (tengo entendido que a través de un formulario si se puede borrar tablas, etc.)


2. Tengo entendido que una url más o menos así es propensa a recibir inyecciones SQL:

http://...../?id=58

Código PHP:
Ver original
  1. SELECT * FROM ejemplo WHERE id=''.$_GET['id'].''

...pero si al hacer la consulta sql hago una condicional, cosa que si no encuentra el id (no existe) lo redirija a la portada, en este caso las inyecciones por URL son 100% seguras..?...muchas gracias
  #2 (permalink)  
Antiguo 21/12/2011, 13:29
 
Fecha de Ingreso: febrero-2011
Mensajes: 233
Antigüedad: 13 años, 10 meses
Puntos: 4
Respuesta: Evitar inyecciones SQL a traves de la URL

alguna respuesta?
  #3 (permalink)  
Antiguo 21/12/2011, 13:51
Avatar de gnzsoloyo
Moderador criollo
 
Fecha de Ingreso: noviembre-2007
Ubicación: Actualmente en Buenos Aires (el enemigo ancestral)
Mensajes: 23.324
Antigüedad: 17 años
Puntos: 2658
Respuesta: Evitar inyecciones SQL a traves de la URL

Lo único más o menos seguro, más allá de lo que se puede hacer en el lenguaje de programación, es usar stored procedures para ejecutar las consultas a la base.
Esto es porque al ser parametrizables, y siendo los parámetros de MySQL no flexibles ni dinámicos, cualquier valor que no sea exactamente lo esperado genera un error de ejecución y terminación del proceso.
En ese sentido, lso SP son invulnerables al sql-injection.
Todo el resto de las opciones se maneja en lenguajes de programación, por lo que te aconsejaría consultar en los foros correspondientes, ya que allí están los expertos en ese tema.
__________________
¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente...
"El problema es la interfase silla-teclado." (Gillermo Luque)

Etiquetas: inyecciones, modificar-tablas, url
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 04:20.