Estamos estudiando crear una función de validación para campos de
formularios, de tal forma que eviten la Inyección SQL. Después de buscar
por internet información al respecto, y realizar una pequeña prueba de
PHP contra MySQL, nos ha sorprendido ver que automáticamente (con la
versión 4.2.1 de PHP) el caracter <'> lo sustituye por <\'>, impidiendo
de esa forma la Inyección.
Nuestra duda es:
1.- ¿El PHP está, por lo tanto, protegido por defecto contra la Inyección?
2.- Una inyección del tipo: <'; delete from nombretabla; --> aún tiene
sentido, ya que quedaría: WHERE usuario = '\'; delete from nombretabla;
-- AND contraseña = ''>. Sin embargo el MySQL lo bloquea, ¿significa eso
que MySQL solo ejecuta una consulta cada vez?
3.- ¿Esta vulnerabilidad sólo está presente en ASP contra MS SQL SERVER?
¿Se evitaría con la sustitución de <'> por <\'> como en PHP?

Un saludo, y gracias de antemano,
Ángel

Gothic Armor nos comentaba un dia en es.comp.bd.misc, y con tan sabias
palabras, nos enseño la luz:

> 1.- ¨El PHP est***, por lo tanto, protegido por defecto contra la Inyecci¢n?

Más bien no. PHP intenta establecer una forma de identificar los caracteres,
como \n.

> 2.- Una inyecci¢n del tipo: <'; delete from nombretabla; --> a£n tiene
> sentido, ya que quedar¡a: WHERE usuario = '\'; delete from nombretabla;
> -- AND contrase¤a = ''>. Sin embargo el MySQL lo bloquea, ¨significa eso
> que MySQL solo ejecuta una consulta cada vez?

Si quieres hacer un sql injection tendria mas sentido usar "' OR 1=1 or 1='".
De esta forma te aseguras la condición a true.


> 3.- ¨Esta vulnerabilidad s¢lo est*** presente en ASP contra MS SQL SERVER?
> ¨Se evitar¡a con la sustituci¢n de <'> por <\'> como en PHP?

Vamos a ver, que tienes un cacao de cuidado. El SQL Injection es una tecnica,
para la cual necesitas un SGBD y una pantalla o un campo donde hacerlo. Eso
quiere decir que funciona con cualquier SGBD y con cualquier lenguaje.

Lex


--
Press Play Then Any Key
http://www.pressplaythenanykey.com/

FAQ de es.comp.lenguajes.php:
http://www.pclandia.net/escomplenguajesphp
http://faq.guatemalanetworks.com

Mi Freeware:
http://www.pclandia.net/lexsparrow/

Gothic Armor nos comentaba un dia en es.comp.bd.misc, y con tan sabias
palabras, nos enseño la luz:

> 1.- ¨El PHP est***, por lo tanto, protegido por defecto contra la Inyecci¢n?

Más bien no. PHP intenta establecer una forma de identificar los caracteres,
como \n.

> 2.- Una inyecci¢n del tipo: <'; delete from nombretabla; --> a£n tiene
> sentido, ya que quedar¡a: WHERE usuario = '\'; delete from nombretabla;
> -- AND contrase¤a = ''>. Sin embargo el MySQL lo bloquea, ¨significa eso
> que MySQL solo ejecuta una consulta cada vez?

Si quieres hacer un sql injection tendria mas sentido usar "' OR 1=1 or 1='".
De esta forma te aseguras la condición a true.


> 3.- ¨Esta vulnerabilidad s¢lo est*** presente en ASP contra MS SQL SERVER?
> ¨Se evitar¡a con la sustituci¢n de <'> por <\'> como en PHP?

Vamos a ver, que tienes un cacao de cuidado. El SQL Injection es una tecnica,
para la cual necesitas un SGBD y una pantalla o un campo donde hacerlo. Eso
quiere decir que funciona con cualquier SGBD y con cualquier lenguaje.

Lex


--
Press Play Then Any Key
http://www.pressplaythenanykey.com/

FAQ de es.comp.lenguajes.php:
http://www.pclandia.net/escomplenguajesphp
http://faq.guatemalanetworks.com

Mi Freeware:
http://www.pclandia.net/lexsparrow/

Gothic Armor nos comentaba un dia en es.comp.bd.misc, y con tan sabias
palabras, nos enseño la luz:

> 1.- ¨El PHP est***, por lo tanto, protegido por defecto contra la Inyecci¢n?

Más bien no. PHP intenta establecer una forma de identificar los caracteres,
como \n.

> 2.- Una inyecci¢n del tipo: <'; delete from nombretabla; --> a£n tiene
> sentido, ya que quedar¡a: WHERE usuario = '\'; delete from nombretabla;
> -- AND contrase¤a = ''>. Sin embargo el MySQL lo bloquea, ¨significa eso
> que MySQL solo ejecuta una consulta cada vez?

Si quieres hacer un sql injection tendria mas sentido usar "' OR 1=1 or 1='".
De esta forma te aseguras la condición a true.


> 3.- ¨Esta vulnerabilidad s¢lo est*** presente en ASP contra MS SQL SERVER?
> ¨Se evitar¡a con la sustituci¢n de <'> por <\'> como en PHP?

Vamos a ver, que tienes un cacao de cuidado. El SQL Injection es una tecnica,
para la cual necesitas un SGBD y una pantalla o un campo donde hacerlo. Eso
quiere decir que funciona con cualquier SGBD y con cualquier lenguaje.

Lex


--
Press Play Then Any Key
http://www.pressplaythenanykey.com/

FAQ de es.comp.lenguajes.php:
http://www.pclandia.net/escomplenguajesphp
http://faq.guatemalanetworks.com

Mi Freeware:
http://www.pclandia.net/lexsparrow/

Gothic Armor nos comentaba un dia en es.comp.bd.misc, y con tan sabias
palabras, nos enseño la luz:

> 1.- ¨El PHP est***, por lo tanto, protegido por defecto contra la Inyecci¢n?

Más bien no. PHP intenta establecer una forma de identificar los caracteres,
como \n.

> 2.- Una inyecci¢n del tipo: <'; delete from nombretabla; --> a£n tiene
> sentido, ya que quedar¡a: WHERE usuario = '\'; delete from nombretabla;
> -- AND contrase¤a = ''>. Sin embargo el MySQL lo bloquea, ¨significa eso
> que MySQL solo ejecuta una consulta cada vez?

Si quieres hacer un sql injection tendria mas sentido usar "' OR 1=1 or 1='".
De esta forma te aseguras la condición a true.


> 3.- ¨Esta vulnerabilidad s¢lo est*** presente en ASP contra MS SQL SERVER?
> ¨Se evitar¡a con la sustituci¢n de <'> por <\'> como en PHP?

Vamos a ver, que tienes un cacao de cuidado. El SQL Injection es una tecnica,
para la cual necesitas un SGBD y una pantalla o un campo donde hacerlo. Eso
quiere decir que funciona con cualquier SGBD y con cualquier lenguaje.

Lex


--
Press Play Then Any Key
http://www.pressplaythenanykey.com/

FAQ de es.comp.lenguajes.php:
http://www.pclandia.net/escomplenguajesphp
http://faq.guatemalanetworks.com

Mi Freeware:
http://www.pclandia.net/lexsparrow/

Gothic Armor nos comentaba un dia en es.comp.bd.misc, y con tan sabias
palabras, nos enseño la luz:

> 1.- ¨El PHP est***, por lo tanto, protegido por defecto contra la Inyecci¢n?

Más bien no. PHP intenta establecer una forma de identificar los caracteres,
como \n.

> 2.- Una inyecci¢n del tipo: <'; delete from nombretabla; --> a£n tiene
> sentido, ya que quedar¡a: WHERE usuario = '\'; delete from nombretabla;
> -- AND contrase¤a = ''>. Sin embargo el MySQL lo bloquea, ¨significa eso
> que MySQL solo ejecuta una consulta cada vez?

Si quieres hacer un sql injection tendria mas sentido usar "' OR 1=1 or 1='".
De esta forma te aseguras la condición a true.


> 3.- ¨Esta vulnerabilidad s¢lo est*** presente en ASP contra MS SQL SERVER?
> ¨Se evitar¡a con la sustituci¢n de <'> por <\'> como en PHP?

Vamos a ver, que tienes un cacao de cuidado. El SQL Injection es una tecnica,
para la cual necesitas un SGBD y una pantalla o un campo donde hacerlo. Eso
quiere decir que funciona con cualquier SGBD y con cualquier lenguaje.

Lex


--
Press Play Then Any Key
http://www.pressplaythenanykey.com/

FAQ de es.comp.lenguajes.php:
http://www.pclandia.net/escomplenguajesphp
http://faq.guatemalanetworks.com

Mi Freeware:
http://www.pclandia.net/lexsparrow/

Gothic Armor nos comentaba un dia en es.comp.bd.misc, y con tan sabias
palabras, nos enseño la luz:

> 1.- ¨El PHP est***, por lo tanto, protegido por defecto contra la Inyecci¢n?

Más bien no. PHP intenta establecer una forma de identificar los caracteres,
como \n.

> 2.- Una inyecci¢n del tipo: <'; delete from nombretabla; --> a£n tiene
> sentido, ya que quedar¡a: WHERE usuario = '\'; delete from nombretabla;
> -- AND contrase¤a = ''>. Sin embargo el MySQL lo bloquea, ¨significa eso
> que MySQL solo ejecuta una consulta cada vez?

Si quieres hacer un sql injection tendria mas sentido usar "' OR 1=1 or 1='".
De esta forma te aseguras la condición a true.


> 3.- ¨Esta vulnerabilidad s¢lo est*** presente en ASP contra MS SQL SERVER?
> ¨Se evitar¡a con la sustituci¢n de <'> por <\'> como en PHP?

Vamos a ver, que tienes un cacao de cuidado. El SQL Injection es una tecnica,
para la cual necesitas un SGBD y una pantalla o un campo donde hacerlo. Eso
quiere decir que funciona con cualquier SGBD y con cualquier lenguaje.

Lex


--
Press Play Then Any Key
http://www.pressplaythenanykey.com/

FAQ de es.comp.lenguajes.php:
http://www.pclandia.net/escomplenguajesphp
http://faq.guatemalanetworks.com

Mi Freeware:
http://www.pclandia.net/lexsparrow/