Problemas con PostgreSQL
Esteban Manchado Velázquez
zoso en demiurgo.org
Mie Feb 11 20:34:05 CET 2004
On Wed, Feb 11, 2004 at 08:17:53PM +0100, Hernan Foffani wrote:
> Esteban Manchado Velázquez escribio:
> > Lo que quiero decir es que si un fulano escribe en un formulario
> > de entrada a una aplicación (en el campo nombre, p.ej.) algo como:
> >
> > '; DELETE from usuarios; SELECT * from usuarios WHERE 'a' = 'a
> >
> > ...
> >
> > Ejecutaríamos en la base de datos esto:
> >
> > SELECT count(*) from usuarios WHERE usuario = ''; DELETE from
> > usuarios; SELECT * from usuarios WHERE 'a' = 'a' AND clave = '$clave'
> >
> > O sea, el ataque conocido como «inyección de SQL».
>
> Para evitar eso, mas que "escapear" caracteres lo mejor es construir
> sentencias SQL parametrizadas. Cortas el problema de raiz.
O sea, que se puede. ¿Y cómo es eso?
--
Esteban Manchado Velázquez <zoso*demiurgo*org> - http://www.demiurgo.org
No software patents in Europe! - eurolinux.org - proinnova.hispalinux.es
Join Amnesty International - http://www.amnesty.org/actnow
Más información sobre la lista de distribución Python-es