Diferencia entre revisiones de «Inyección SQL»
se agrego una referencia: http://topicos-seguridad.blogspot.com/2008/12/inyeccion-sql-ejemplo-de-inyeccion-sql.html |
m Revertido a la revisión 25152346 hecha por Magomaitin; vandalismo y spam. (TW) |
||
| Línea 1: | Línea 1: | ||
'''Inyección SQL''' es una [[vulnerabilidad informática]] en el nivel de la validación de las entradas a la [[base de datos]] de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede |
'''Inyección SQL''' es una [[vulnerabilidad informática]] en el nivel de la validación de las entradas a la [[base de datos]] de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier [[lenguaje de programación]] o de [[lenguaje interpretado| script]] que esté incrustado dentro de otro. |
||
Una inyección SQL sucede cuando se inserta o "inyecta" un código [[SQL]] "invasor" dentro de otro código [[SQL]] para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la [[base de datos]]. |
Una inyección SQL sucede cuando se inserta o "inyecta" un código [[SQL]] "invasor" dentro de otro código [[SQL]] para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la [[base de datos]]. |
||
| Línea 29: | Línea 29: | ||
== Ejemplos== |
== Ejemplos== |
||
La inyección SQL es fácil de evitar en la mayoría de los [[lenguaje de programación| lenguajes de programación]] que desarrollan aplicaciones web. En [[Perl]] DBI, el método <tt>DBI::quote</tt> filtra los caracteres especiales (asumiendo que la variable <tt>$sql</tt> contiene una referencia a un objeto DBI) |
La inyección SQL es fácil de evitar en la mayoría de los [[lenguaje de programación| lenguajes de programación]] que desarrollan aplicaciones web. En [[Perl]] DBI, el método <tt>DBI::quote</tt> filtra los caracteres especiales (asumiendo que la variable <tt>$sql</tt> contiene una referencia a un objeto DBI) |
||
$query = $sql->prepare |
|||
( |
|||
"SELECT * FROM usuarios WHERE nombre = " |
|||
. |
|||
$sql->quote($nombre_usuario) |
|||
); |
|||
O también se puede usar la característica ''placeholder'' (con comillado automático) como sigue: |
|||
$query = $sql->prepare("SELECT * FROM usuario WHERE nombre = ?"); |
|||
$query->execute($nombre_usuario); |
|||
En [[PHP]], hay diferentes funciones que nos pueden servir de ayuda para usar con distintos [[sistema de gestión de base de datos|sistemas de gestión de bases de datos]]. Para [[MySQL]], la función a usar es <tt>mysql_real_escape_string</tt>: |
|||
$query_result = mysql_query |
|||
( |
|||
"SELECT * FROM usuarios WHERE nombre = \"" |
|||
. |
|||
mysql_real_escape_string($nombre_usuario) |
|||
. |
|||
"\"" |
|||
); |
|||
En [[lenguaje de programación Java| Java]], tenemos que usar la clase <tt>PreparedStatement</tt> : |
|||
En vez de |
|||
Connection con = (acquire Connection) |
|||
Statement stmt = con.createStatement(); |
|||
ResultSet rset = stmt.executeQuery("SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"); |
|||
hay que usar lo siguiente: |
|||
Connection con = (acquire Connection) |
|||
PreparedStatement pstmt = con.prepareStatement("SELECT * FROM usuarios WHERE nombre = ?"); |
|||
pstmt.setString(1, nombreUsuario); |
|||
ResultSet rset = pstmt.executeQuery(); |
|||
En [[C Sharp|C#]], de la plataforma [[.NET]] (o su alternativa libre [[Proyecto Mono| Mono]]), tenemos [[ADO.NET]] <tt>SqlCommand</tt> (para [[Microsoft]] [[SQL Server]]) or <tt>OracleCommand</tt> (para servidores de bases de datos Oracle). El ejemplo de abajo muestra cómo prevenir los ataques de inyección de código usando el objeto SqlCommand. El código para ADO.NET se programa de forma similar, pero puede variar levemente según la implementación específica de cada proveedor. |
|||
En vez de |
|||
using( SqlConnection con = (acquire connection) ) { |
|||
con. Open(); |
|||
using( SqlCommand cmd = new SqlCommand("SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "'", con) ) { |
|||
using( SqlDataReader rdr = cmd.ExecuteReader() ){ |
|||
... |
|||
} |
|||
} |
|||
} |
|||
hay que usar lo siguiente: |
|||
using( SqlConnection con = (acquire connection) ) { |
|||
con. Open(); |
|||
using( SqlCommand cmd = new SqlCommand("SELECT * FROM usuarios WHERE nombre = @nombreUsuario", con) ) { |
|||
cmd.Parameters.AddWithValue("@nombreUsuario", nombreUsuario); |
|||
using( SqlDataReader rdr = cmd.ExecuteReader() ){ |
|||
... |
|||
} |
|||
} |
|||
} |
|||
==Véase también== |
==Véase también== |
||
| Línea 42: | Línea 109: | ||
* [http://www.derkeiler.com/Mailing-Lists/securityfocus/secprog/2001-07/0001.html Técnicas de ataque en servidores web con scripts vía inyección SQL] (en inglés) |
* [http://www.derkeiler.com/Mailing-Lists/securityfocus/secprog/2001-07/0001.html Técnicas de ataque en servidores web con scripts vía inyección SQL] (en inglés) |
||
* "[http://www.hernanracciatti.com.ar/research/papers/sqlinjection.pdf SQL Injection: Un Repaso]" Escrito por Hernan Racciatti (en español) |
* "[http://www.hernanracciatti.com.ar/research/papers/sqlinjection.pdf SQL Injection: Un Repaso]" Escrito por Hernan Racciatti (en español) |
||
* "[http://www.busindre.com/guia-rapida-de-inyecciones-en-bases-de-datos-mysql/ SQL Injection en Mysql]" (en español) |
|||
* [http://www.nextgenss.com/papers/advanced_sql_injection.pdf Ataques avanzados de inyección SQL] (en inglés) |
* [http://www.nextgenss.com/papers/advanced_sql_injection.pdf Ataques avanzados de inyección SQL] (en inglés) |
||
* "[http://sherekan.com.ar/blog/2008/03/03/sql-injection-introduccion/ Como funciona SQL Injection desde cero]" (en español) |
* "[http://sherekan.com.ar/blog/2008/03/03/sql-injection-introduccion/ Como funciona SQL Injection desde cero]" (en español) |
||
| Línea 60: | Línea 126: | ||
* "[http://campusvirtual.unex.es/cala/epistemowikia/index.php?title=Inyección_de_código_SQL Inyección de código SQL: Excelente artículo resumido y completo ]" escrito por Juan Martínez Llinás (en español) |
* "[http://campusvirtual.unex.es/cala/epistemowikia/index.php?title=Inyección_de_código_SQL Inyección de código SQL: Excelente artículo resumido y completo ]" escrito por Juan Martínez Llinás (en español) |
||
* "[http://www.elanize.com Maui Security Scanner - Commercial Escáner de seguridad]" (en inglés) |
* "[http://www.elanize.com Maui Security Scanner - Commercial Escáner de seguridad]" (en inglés) |
||
* "[http://topicos-seguridad.blogspot.com/2008/12/inyeccion-sql-ejemplo-de-inyeccion-sql.html Ejemplo de Inyección SQL con C# (.net) y MySQL]" Escrito por Alfonso Jesus Flores(en español) |
|||
Revisión del 04:33 27 may 2009
Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.
Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.
La inyección SQL es un problema de seguridad informática que debe ser tomado en cuenta por el programador para prevenirlo. Un programa hecho con descuido, displicencia, o con ignorancia sobre el problema, podrá ser vulnerable y la seguridad del sistema puede quedar ciertamente comprometida. Esto puede suceder tanto en programas ejecutándose en computadores de escritorio, como en páginas Web, ya que éstas pueden funcionar mediante programas ejecutándose en el servidor que las aloja.
La vulnerabilidad puede ocurrir cuando un programa "arma" descuidadamente una sentencia SQL, con parámetros dados por el usuario, para luego hacer una consulta a una base de datos. Dentro de los parámetros dados por el usuario podría venir el código SQL inyectado.
Al ejecutarse esa consulta por la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar código malicioso en el computador.
Asumiendo que el siguiente código está en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario que nosotros le demos, la inyección SQL es posible:
consulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"
Si el usuario escribe su nombre, digamos "Alicia", nada anormal sucedería, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionaría al usuario "Alicia":
SELECT * FROM usuarios WHERE nombre = 'Alicia';
Pero si un usuario malintencionado escribe como nombre de usuario:
"Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE '-' = '-", se generaría la siguiente consulta SQL, (el color verde es lo que pretende el programador, el azul es el dato, y el rojo, el código SQL inyectado):
SELECT * FROM usuarios WHERE nombre = 'Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE '-' = '-';
La base de datos ejecutaría la consulta en orden, seleccionaría el usuario 'Alicia', borraría la tabla 'usuarios' y seleccionaría datos que quizá no están disponibles para los usuarios web comunes. En resumen, cualquier dato de la base de datos está disponible para ser leído o modificado por un usuario malintencionado.
Nótese por qué se llama "Inyección" SQL. Si observamos el código malicioso, de color rojo, vemos que está en el medio del código bueno, el verde. El código rojo ha sido "inyectado" dentro del verde.
Ejemplos
La inyección SQL es fácil de evitar en la mayoría de los lenguajes de programación que desarrollan aplicaciones web. En Perl DBI, el método DBI::quote filtra los caracteres especiales (asumiendo que la variable $sql contiene una referencia a un objeto DBI)
$query = $sql->prepare
(
"SELECT * FROM usuarios WHERE nombre = "
.
$sql->quote($nombre_usuario)
);
O también se puede usar la característica placeholder (con comillado automático) como sigue:
$query = $sql->prepare("SELECT * FROM usuario WHERE nombre = ?");
$query->execute($nombre_usuario);
En PHP, hay diferentes funciones que nos pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos. Para MySQL, la función a usar es mysql_real_escape_string:
$query_result = mysql_query
(
"SELECT * FROM usuarios WHERE nombre = \""
.
mysql_real_escape_string($nombre_usuario)
.
"\""
);
En Java, tenemos que usar la clase PreparedStatement :
En vez de
Connection con = (acquire Connection)
Statement stmt = con.createStatement();
ResultSet rset = stmt.executeQuery("SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';");
hay que usar lo siguiente:
Connection con = (acquire Connection)
PreparedStatement pstmt = con.prepareStatement("SELECT * FROM usuarios WHERE nombre = ?");
pstmt.setString(1, nombreUsuario);
ResultSet rset = pstmt.executeQuery();
En C#, de la plataforma .NET (o su alternativa libre Mono), tenemos ADO.NET SqlCommand (para Microsoft SQL Server) or OracleCommand (para servidores de bases de datos Oracle). El ejemplo de abajo muestra cómo prevenir los ataques de inyección de código usando el objeto SqlCommand. El código para ADO.NET se programa de forma similar, pero puede variar levemente según la implementación específica de cada proveedor.
En vez de
using( SqlConnection con = (acquire connection) ) {
con. Open();
using( SqlCommand cmd = new SqlCommand("SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "'", con) ) {
using( SqlDataReader rdr = cmd.ExecuteReader() ){
...
}
}
}
hay que usar lo siguiente:
using( SqlConnection con = (acquire connection) ) {
con. Open();
using( SqlCommand cmd = new SqlCommand("SELECT * FROM usuarios WHERE nombre = @nombreUsuario", con) ) {
cmd.Parameters.AddWithValue("@nombreUsuario", nombreUsuario);
using( SqlDataReader rdr = cmd.ExecuteReader() ){
...
}
}
}
Véase también
Enlaces externos
- Técnicas de ataque en servidores web con scripts vía inyección SQL (en inglés)
- "SQL Injection: Un Repaso" Escrito por Hernan Racciatti (en español)
- Ataques avanzados de inyección SQL (en inglés)
- "Como funciona SQL Injection desde cero" (en español)
- ¿Qué es la inyección SQL? (en inglés)
- Aplicaciones web e inyección SQL (en inglés)
- ¿Qué es un ataque de inyección SQL? (en inglés)
- Artículo "Inyección SQL: Modos de Ataque, Defensa, y Por qué sucede" escrito por Stuart McDonald (en inglés)
- Artículo "Ataques a servidores SQL: Hacking, Cracking, y Técnicas de protección" escrito por Seth Fogie y Cyrus Peikari (en inglés)
- Artículo "Inyección SQL y Oracle, Parte uno"escrito por Pete Finnigan (en inglés)
- Artículo "Ataques de inyección SQL - ¿Estás a salvo?" escrito por Mitchell Harper (en inglés)
- Artículo "Protegiéndose frente a la inyección SQL" esrito por Umachandar Jayachandran (en inglés)
- Artículo "Detén los ataques de Inyección SQL antes de que ellos te detengan a ti" escrito por Paul Litwin (en inglés)
- "Protección contra los ataques de inyección" (en inglés)
- "Tutorial básico de la inyección SQL" (en inglés)
- "SQLrand: Previniendo los ataques de Inyección SQL" escrito por Stephen W. Boyd y Angelos D. Keromytis (en inglés)
- "¿Qué es la Inyección SQL?" escrito por CGISecurity.com (en inglés)
- "Inyección de código SQL: Excelente artículo resumido y completo " escrito por Juan Martínez Llinás (en español)
- "Maui Security Scanner - Commercial Escáner de seguridad" (en inglés)