Problemas con PostgreSQL
Hernan Foffani
hernan en orgmf.com.ar
Mie Feb 11 20:17:53 CET 2004
Esteban Manchado Velázquez escribio:
> Lo que quiero decir es que si un fulano escribe en un formulario
> de entrada a una aplicación (en el campo nombre, p.ej.) algo como:
>
> '; DELETE from usuarios; SELECT * from usuarios WHERE 'a' = 'a
>
> ...
>
> Ejecutaríamos en la base de datos esto:
>
> SELECT count(*) from usuarios WHERE usuario = ''; DELETE from
> usuarios; SELECT * from usuarios WHERE 'a' = 'a' AND clave = '$clave'
>
> O sea, el ataque conocido como «inyección de SQL».
Para evitar eso, mas que "escapear" caracteres lo mejor es construir
sentencias SQL parametrizadas. Cortas el problema de raiz.
Saludos,
-Hernán
Más información sobre la lista de distribución Python-es