Ejemplos de Inyeccion SQL

Posted on 6 de June de 200620 de December de 2009 by Javier Aroche

Desde el boom de las paginas dinamicas con PHP o ASP, las bases de datos son accesibles de una u otra forma desde el Internet. Como siempre los chicos malos andan viendo komo obtener provecho de a informacion ke nosotros hemos puesto en linea, y uno de sus armas predilectas es la Inyeccion SQL. Segun Wikipedia, la Inyeccion SQL consisten en:

Vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.

Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código “invasor” en la base de datos.

Existen diversas formas de Inyeccion SQL, pero el mayor problema se debe a el mal procesamiento de las comillas dobles (“) y simples (‘). En un articulo publicado en unixwiz.net ilustra algunos de estos ejemplos, explica el problema y brinda algunas soluciones para el atake. Tambien en wikipedia hay enlaces a otros articulos con explicaciones y soluciones a la Inyeccion SQL. En lo personal cuando desarrollo en PHP y VB, solo me preocupaba por las comillas, pero acabo de toparme con algunos problemillas con los parametros numericos de las consultas…

Existen muchas paginas tratando este tipo de atakes, pero les recomiendo las paginas en ingles porke tienen mas variedad y las soluciones cubren mas lenguajes de programacion, todo es cuestion de ke le pregunten a Google. A proteger la DB se a dicho pues!

8 thoughts on “Ejemplos de Inyeccion SQL”

mgmgmgmg 29 de March de 200712:41 pm

y donde estan los ejemplos :s
El Profe 28 de April de 20071:35 am

Que raro la jarocha con sus turbiadas
Javier Aroche 28 de April de 20071:16 pm

ni color que llegaste acá buscando eso jajajaja
Kalamar 16 de September de 20074:24 pm

“Como siempre los chicos malos andan viendo komo obtener provecho de a informacion ke nosotros hemos puesto en linea”…

Pues no veo el por que de llamarlos “chicos malos”,suena a telediario del mediodia intentando dejar en el lado mas oscuro al que tiene curiosidad por aprender.
Comprendo lo que quieres decir con informacion puesta en linea pero si es que no quieres que la vean montatela en un CD o algun otro medio al cual no tengan acceso, la informacion debe de ser libre.

Solo el conocimiento te hara realmente libre
Haylin-sama 29 de November de 20074:16 pm

Vaya, es interesante esto del hackeo o_o
Muy buena informacion, y es curiosidad saber como funciona xD!!
Oiga, Virus-Defacer, no funciona su metodo en mi computador, o tal ves ya php-nuke sabe el problema, y cada vez que uno lo inyecta no funciona y dice que se detecto un codigo peligroso 🙂

Nunca se sabe <)
Mario 26 de February de 200810:34 pm

¿vos y lo ejemplos?
si vas ha postear algo hacelo bien!!!!
Michael Mezza 28 de February de 200810:11 pm

algo ke les sirva
( para encontrar paginas PHP !! ) este es el codigo :

modules.php?name=Statistics Version PHP-Nuke

y deverian aver mas comentarios hacerca de carding !!
ahi me sorprenderian ..

he hecho 3 ataque SQL = ia no son tan vulnerables las paginas …
se protegen mas ke antes …

hay ke aiar la forma mas complikada . por ejemplo.
defacear terra xD
omargd 22 de July de 20089:31 am

si eso es cierto ahora todas las webs estan mas seguras ya no es tan facil acceder a ellas pero el reto de hacerlo es lo que lo hace mas divertido