DiscusiÓn Sobre Sql Injection

sabandija25 · #1 (**permalink**) 17/12/2004, 09:48

Buenas, he estado leyendo mucho sobre este tema y he visto que en todos los ataques el usuario pone la comilla simple '

He visto la biblioteca de funciones en esta misma página donde dan a conocer unas funciones que podrían evitar el problema reemplazando el caracter ' por ''... el tema es que también he visto que reemplazan otros caracteres o palabras reservadas como insert o shutdown, etc...

Si se reemplaza el caracter ' por '', se supone que no hay porqué reemplazar mas caracteres porque todo lo que caiga dentro de la variable va a ser tomado como texto?... ya sea shutdown, update, etc...

¿Es necesario reemplazar otros caracteres además de la comilla simple? o con esto basta?...

Estuve mirando un artículo de Chris Anley sobre sql injection y casi todos los ejemplos que muestra contienen la comilla simple... claro que hay uno en que dice que si uno hace uso de la palabra char, también podrían existir ataques....

El tema central de la discusión es simple...

¿Basta con delimitar el caracter '? ¿Cubre todo?... o se requieren evitar otros caracteres? ¿Por qué?...

Dejo el tema para que se discuta...

Gracias

Myakire · #2 (**permalink**) 17/12/2004, 11:45

Tema muy discutido en respuestas enteriores, chécalas

Saludos

sabandija25 · #3 (**permalink**) 17/12/2004, 16:39

si los he visto, y dan una serie de datos mas para delimitar, pero no se dice si es necesario solamente el de comillas...

me explico... supuestamente si se reemplaza las comillas simples no importa que se le coloque al string porque en cualquier caso la tomaria como un string... eso no se ha discutido(por lo menos ya he buscado bastante en estos foros respecto a eso)... se ha dicho que sería bueno reemplazar las comillas y una serie mas de datos pero no se dice si es necesario solamente reemplazar las comillas simples...

UF ME ENREDÉ SOLO!!!

sorry por la insistencia pero no he visto una discusión en estos foros donde se diga si basta sólo con reemplazar las comillas sin nada más...

gracias

lexus · #4 (**permalink**) 17/12/2004, 17:07

hola pues sabandija igual ke vos pienso ke tampoco se habia discutido lo de las comillas simples si he visto mucho de los comandos y el sql injection pero he hecho priuebas y solo con reemplazar la comilla simple y la doble ya las demas quedan sobrando proqeu se convierten en string.. no se si sea incorrecto lo que digo pero es lo qeu pasa en mis pruiebas. creo qeu es suficiente con reemplazar las comillas simples, dobles y --, esperemos alguien mas de su opinion porque creo qeu habran opiniones encontradas.

yiyocastro · #5 (**permalink**) 18/12/2004, 19:41

con solo utilizar request.urlencode o request.htmlencode.. automaticamente todos esos caracteres raros se convierten en ej. í es: &iacute.. algo asi.. me entiendes...! cualquier cosa [email protected]

yiyocastro · #6 (**permalink**) 18/12/2004, 19:45

perdon es server.htmlencode y server.urlencode

Mickel · #7 (**permalink**) 19/12/2004, 21:52

siempre es importante de todas maneras reemplazar algunas palabras clave porque de repente se va a realizar un EXECUTE sobre la cadena...

3pies · #8 (**permalink**) 20/12/2004, 08:48

Yo me he encontrado una web que tiene al pie de la web, el logo de verysign para pagos seguros, que tiene ese fallo de seguridad. Para más info, es una editorial del grupo Planeta.

Myakire · #9 (**permalink**) 20/12/2004, 15:21

Aca hay un enlace (http://www.forosdelweb.com/showthrea...ight=injection) a un tema donde se preguntaba si con solo quitar los apóstrofes aún se estaba expuesto al SQL Injection.

Saludos