Desde el boom de las paginas dinamicas con PHP o ASP, las bases de datos son accesibles de una u otra forma desde el Internet. Como siempre los chicos malos andan viendo komo obtener provecho de a informacion ke nosotros hemos puesto en linea, y uno de sus armas predilectas es la Inyeccion SQL. Segun Wikipedia, la Inyeccion SQL consisten en:
Vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.
Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código “invasor” en la base de datos.
Existen diversas formas de Inyeccion SQL, pero el mayor problema se debe a el mal procesamiento de las comillas dobles (“) y simples (‘). En un articulo publicado en unixwiz.net ilustra algunos de estos ejemplos, explica el problema y brinda algunas soluciones para el atake. Tambien en wikipedia hay enlaces a otros articulos con explicaciones y soluciones a la Inyeccion SQL. En lo personal cuando desarrollo en PHP y VB, solo me preocupaba por las comillas, pero acabo de toparme con algunos problemillas con los parametros numericos de las consultas…
Existen muchas paginas tratando este tipo de atakes, pero les recomiendo las paginas en ingles porke tienen mas variedad y las soluciones cubren mas lenguajes de programacion, todo es cuestion de ke le pregunten a Google. A proteger la DB se a dicho pues!