Foros del Web » Programación para mayores de 30 ;) » Bases de Datos General » Mysql »

INFO PROTEGIDA Control de entrada (SQL Injection etc)

Estas en el tema de INFO PROTEGIDA Control de entrada (SQL Injection etc) en el foro de Mysql en Foros del Web. Hola a todos y Gracias: Tengo una base de datos con (digamos) dos tablas. Un usuario remoto (sysadmin1 en su sistema remoto) dispone de privilegios ...
  #1 (permalink)  
Antiguo 18/09/2009, 17:33
 
Fecha de Ingreso: septiembre-2009
Mensajes: 2
Antigüedad: 15 años, 2 meses
Puntos: 0
INFO PROTEGIDA Control de entrada (SQL Injection etc)

Hola a todos y Gracias:

Tengo una base de datos con (digamos) dos tablas. Un usuario remoto (sysadmin1 en su sistema remoto) dispone de privilegios de escritura en la TABLA1 de mi servidor con información corriente. (Puede realizar sentencias SQL directamente en la TABLA1)

La base de datos tiene un TRIGGER o procedimiento para hacer una consulta según los datos ingresados en la TABLA1 (comun) en la TABLA2 (secret) con informacion protegida.

El esquema es este:

TABLA1 (Info común)
+---------------+-------------+
| CAMPO1 | CAMPO2 |
| (int) | (int ) |
+---------------+-------------+

TABLA2 (Info protegida)
+---------------+-------------+
| CAMPO1 | CAMPO4 *|
| (int) | (char) |
+---------------+-------------+

La idea es que la información de TABLA2.CAMPO4 NO PUEDE ESTAR ACCESIBLE A sysadmin1 (Recuerdo que el solo dispone de privilegios de SELECT/INSERT en TABLA1

Yo me pregunto si sysadmin1 (via hackeo, etc) puede acceder a la info protegida (CAMPO4) y si hay alguna manera de evitar la consulta de la info protegida.

Gracias, espero sus ideas al respecto.
  #2 (permalink)  
Antiguo 19/09/2009, 01:47
 
Fecha de Ingreso: septiembre-2009
Mensajes: 2
Antigüedad: 15 años, 2 meses
Puntos: 0
Respuesta: INFO PROTEGIDA Control de entrada (SQL Injection etc)

Solo se me ocurre ponerles nombres "extrafalarios" a la tabla 2 y a los cambos de esta tabla; de forma que TABLA2 se llame algo asi como "w3Yms3AgT54" y a los campos algo parecido.

TABLA1 (Info común)
+---------------+-------------+
| CAMPO1 | CAMPO2 |
| (int) | (int ) |
+---------------+-------------+

w3Yms3AgT54 (Info protegida)
+---------------+-------------+
| Ns3Wv34 | 88B3e45|
| (int) | (char) |
+---------------+-------------+

Como el sysadmin1 desconoce los nombres de la tabla remota 2 y sus campos
la consulta sql quedaria algo asi:

SELECT * FROM TABLA1, w3Yms3AgT54 WHERE TABLA1.CAMPO1=w3Yms3AgT54.Ns3Wv34 ;

y no la podria realizar,por desconocer los nombres de la tabla y de los campos..


Tiene sentido?

Gracias
  #3 (permalink)  
Antiguo 19/09/2009, 07:31
Avatar de huesos52
Colaborador
 
Fecha de Ingreso: febrero-2009
Ubicación: Manizales - Colombia
Mensajes: 5.980
Antigüedad: 15 años, 9 meses
Puntos: 360
Respuesta: INFO PROTEGIDA Control de entrada (SQL Injection etc)

Cita:
La base de datos tiene un TRIGGER o procedimiento para hacer una consulta según los datos ingresados en la TABLA1 (comun) en la TABLA2 (secret) con informacion protegida.
Tiene un trigger o un procedimiento?
Que contenido tiene?

Tu segunda opción me parece buena idea.

Me parece una buena opción.
__________________
Without data, You are another person with an opinion.
W. Edwads Deming
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:02.