Inyección SQL

Inyección SQL
Inyección SQL es una vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de un clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro. Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos. La inyección SQL es un problema de seguridad informática que debe ser tomado en cuenta por el programador para prevenirlo. Un programa hecho con descuido, displicencia, o con ignorancia sobre el problema, podrá ser vulnerable y la seguridad del sistema puede quedar ciertamente comprometida. Esto puede suceder tanto en programas corriendo en computadores de escritorio, como en páginas Web, ya que éstas pueden funcionar mediante programas ejecutándose en el servidor que las aloja. La vulnerabilidad puede ocurrir cuando un programa "arma" descuidadamente una sentencia SQL, con parámetros dados por el usuario, para luego hacer una consulta a una base de datos. Dentro de los parámetros dados por el usuario podría venir el código SQL inyectado. Al ejecutarse esa consulta por la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar código malicioso en el computador. Asumiendo que el siguiente código está en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario que nosotros le demos, la inyección SQL es posible:
consulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"

Enciclopedia Universal. 2012.

Игры ⚽ Нужно сделать НИР?

Mira otros diccionarios:

  • Inyección SQL — es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. El origen de la vulnerabilidad radica… …   Wikipedia Español

  • Inyección — La inyección es un procedimiento mediante el cual se hace pasar un líquido o un material viscoso a través de un tubo o un conducto circular para un determinado fin. Se habla de inyección en los siguientes casos: Inyección en medicina Inyección de …   Wikipedia Español

  • Blind SQL injection — Saltar a navegación, búsqueda Ataque a ciegas de inyección SQL, en inglés, Blind SQL injection es una técnica de ataque que utiiliza inyección SQL cuando una página web por motivos de seguridad no muestra mensajes de error de la base de datos al… …   Wikipedia Español

  • Inseguridad informática — La inseguridad informática es la falta o poca presencia de seguridad informática en un sistema operativo, aplicación, red o dispositivo, esto permite su demostración por hackers éticos (sombreros blancos) o su explotación por hackers mal… …   Wikipedia Español

  • Agujero de seguridad — Un agujero de seguridad es un fallo en un programa que permite mediante su explotación violar la seguridad de un sistema informático. Esto también se ha comenzado a aplicar a los servicios web, tales como páginas web, correo, IRC, MSN, chat, etc …   Wikipedia Español

  • LedgerSMB — es un sistema de contabilidad por partida doble en software libre. Los datos contables son almacenados en un servidor de base de datos SQL y un navegador web estándar puede ser usado como su interface de usuario. El sistema utiliza el lenguaje… …   Wikipedia Español

  • Exploit — (viene de to exploit aprovechar) código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios software. Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de …   Enciclopedia Universal

  • Programación defensiva — Saltar a navegación, búsqueda La programación defensiva (defensive programming en inglés) es una forma de diseño defensivo aplicada al diseño de software que busca garantizar el comportamiento de todo elemento de una aplicación ante cualquier… …   Wikipedia Español

  • Wikipedia:Artículos solicitados — Atajos WP:AS WP:SOL Artículos solicitados En esta página pue …   Wikipedia Español

  • Anonymous — Para otros usos de este término, véase Anonymous (desambiguación). Anonymous Una de las banderas del movimiento. El hombre sin cabeza y traje formal representa la ausencia de líderes o dirigentes. Lema …   Wikipedia Español

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”