Ejemplos de Inyeccion SQL

Desde el boom de las paginas dinamicas con PHP o ASP, las bases de datos son accesibles de una u otra forma desde el Internet. Como siempre los chicos malos andan viendo komo obtener provecho de a informacion ke nosotros hemos puesto en linea, y uno de sus armas predilectas es la Inyeccion SQL. Segun Wikipedia, la Inyeccion SQL consisten en:

Vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.

Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código “invasor” en la base de datos.

Existen diversas formas de Inyeccion SQL, pero el mayor problema se debe a el mal procesamiento de las comillas dobles (“) y simples (‘). En un articulo publicado en unixwiz.net ilustra algunos de estos ejemplos, explica el problema y brinda algunas soluciones para el atake. Tambien en wikipedia hay enlaces a otros articulos con explicaciones y soluciones a la Inyeccion SQL. En lo personal cuando desarrollo en PHP y VB, solo me preocupaba por las comillas, pero acabo de toparme con algunos problemillas con los parametros numericos de las consultas…

Existen muchas paginas tratando este tipo de atakes, pero les recomiendo las paginas en ingles porke tienen mas variedad y las soluciones cubren mas lenguajes de programacion, todo es cuestion de ke le pregunten a Google. A proteger la DB se a dicho pues!

8 thoughts on “Ejemplos de Inyeccion SQL

  1. “Como siempre los chicos malos andan viendo komo obtener provecho de a informacion ke nosotros hemos puesto en linea”…

    Pues no veo el por que de llamarlos “chicos malos”,suena a telediario del mediodia intentando dejar en el lado mas oscuro al que tiene curiosidad por aprender.
    Comprendo lo que quieres decir con informacion puesta en linea pero si es que no quieres que la vean montatela en un CD o algun otro medio al cual no tengan acceso, la informacion debe de ser libre.

    Solo el conocimiento te hara realmente libre

  2. Vaya, es interesante esto del hackeo o_o
    Muy buena informacion, y es curiosidad saber como funciona xD!!
    Oiga, Virus-Defacer, no funciona su metodo en mi computador, o tal ves ya php-nuke sabe el problema, y cada vez que uno lo inyecta no funciona y dice que se detecto un codigo peligroso 🙂

    Nunca se sabe <)

  3. algo ke les sirva
    ( para encontrar paginas PHP !! ) este es el codigo :

    modules.php?name=Statistics Version PHP-Nuke

    y deverian aver mas comentarios hacerca de carding !!
    ahi me sorprenderian ..

    he hecho 3 ataque SQL = ia no son tan vulnerables las paginas …
    se protegen mas ke antes …

    hay ke aiar la forma mas complikada . por ejemplo.
    defacear terra xD

  4. si eso es cierto ahora todas las webs estan mas seguras ya no es tan facil acceder a ellas pero el reto de hacerlo es lo que lo hace mas divertido

Comments are closed.