[OT] Inyeccion de SQL en Access

10/11/2004 - 20:20 por Alberto D. | Informe spam
Hola desculpen por el OT,

Tengo que hacer una aplicacion con Access 2000, alguien sabe
como puedo validar inyeccion de SQL, o si es posible hacer esa
inyeccion en Access??

En Sql 2000 me protego haciendolo con stores procedures, o en el caso
de que ejecute querys, busco el simbolo de comentario "--", pero en
access no se cual sea el simbolo de comentario, y no se si se puedan hacer
stores procedure..

Muchas gracias !!

Preguntas similare

Leer las respuestas

#1 Guillermo Roldán
10/11/2004 - 22:20 | Informe spam
Yo solía limitar el qué me podían introducir en el front-end.

Imagina esta SQL accediendo a Access a través de ADO, por ejemplo, en una
página ASP:

strSQL = "SELECT ID FROM USUARIOS WHERE NOMBRE='" & strUsuario & "' AND
CLAVE='" & strClave & "'"

Si el usuario introduce como usuario y como contraseña lo siguiente:
' OR 'a'='a

Consigue debilitar la cláusula WHERE de la sentencia SQL, por lo que será lo
mismo que un SELECT ID FROM USUARIOS.

Este es un ejemplo de SQL Injection con Páginas ASP accediendo a MS
Access... por ello, cuanto más limites la entrada en tu aplicación, mejor.
En este ejemplo, se podría limitar a caracteres numéricos y alfanuméricos,
excluyendo símbolos y sobre todo ' y ".

Saludos,

Guillermo Roldán
MCDBA, MCSE, MCSA
Madrid - Spain


"Alberto D." escribió en el mensaje
news:#
Hola desculpen por el OT,

Tengo que hacer una aplicacion con Access 2000, alguien sabe
como puedo validar inyeccion de SQL, o si es posible hacer esa
inyeccion en Access??

En Sql 2000 me protego haciendolo con stores procedures, o en el caso
de que ejecute querys, busco el simbolo de comentario "--", pero en
access no se cual sea el simbolo de comentario, y no se si se puedan hacer
stores procedure..

Muchas gracias !!




Respuesta Responder a este mensaje
#2 Alberto D.
10/11/2004 - 22:27 | Informe spam
Muchas gracias Guillermo !!


"Guillermo Roldán" escribió en el
mensaje news:
Yo solía limitar el qué me podían introducir en el front-end.

Imagina esta SQL accediendo a Access a través de ADO, por ejemplo, en una
página ASP:

strSQL = "SELECT ID FROM USUARIOS WHERE NOMBRE='" & strUsuario & "' AND
CLAVE='" & strClave & "'"

Si el usuario introduce como usuario y como contraseña lo siguiente:
' OR 'a'='a

Consigue debilitar la cláusula WHERE de la sentencia SQL, por lo que será


lo
mismo que un SELECT ID FROM USUARIOS.

Este es un ejemplo de SQL Injection con Páginas ASP accediendo a MS
Access... por ello, cuanto más limites la entrada en tu aplicación, mejor.
En este ejemplo, se podría limitar a caracteres numéricos y alfanuméricos,
excluyendo símbolos y sobre todo ' y ".

Saludos,

Guillermo Roldán
MCDBA, MCSE, MCSA
Madrid - Spain


"Alberto D." escribió en el mensaje
news:#
> Hola desculpen por el OT,
>
> Tengo que hacer una aplicacion con Access 2000, alguien sabe
> como puedo validar inyeccion de SQL, o si es posible hacer esa
> inyeccion en Access??
>
> En Sql 2000 me protego haciendolo con stores procedures, o en el caso
> de que ejecute querys, busco el simbolo de comentario "--", pero en
> access no se cual sea el simbolo de comentario, y no se si se puedan


hacer
> stores procedure..
>
> Muchas gracias !!
>
>
>
>


Respuesta Responder a este mensaje
#3 Miguel Egea
10/11/2004 - 23:19 | Informe spam
Creo que lo mejor es pensar que el usuario es el diablo y dejar hacer esto
al propio sistema usando técnicas como el que dice este artículo
http://www.configuracionesintegrale...p?articulo'3

Por cierto, buscar los comentarios no es suficiente para evitar una
inyección de código sql, tenlo en cuenta.

-
Miguel Egea Gómez
Microsoft SQL-Server MVP
Webmaster de PortalSql.Com
¿Te interesa participar en las reuniones
del grupo de Usuarios de SQL-Server y .NET
Se harán en levante de España, (Alicante o Murcia)?

"Guillermo Roldán" escribió en el
mensaje news:
Yo solía limitar el qué me podían introducir en el front-end.

Imagina esta SQL accediendo a Access a través de ADO, por ejemplo, en una
página ASP:

strSQL = "SELECT ID FROM USUARIOS WHERE NOMBRE='" & strUsuario & "' AND
CLAVE='" & strClave & "'"

Si el usuario introduce como usuario y como contraseña lo siguiente:
' OR 'a'='a

Consigue debilitar la cláusula WHERE de la sentencia SQL, por lo que será
lo
mismo que un SELECT ID FROM USUARIOS.

Este es un ejemplo de SQL Injection con Páginas ASP accediendo a MS
Access... por ello, cuanto más limites la entrada en tu aplicación, mejor.
En este ejemplo, se podría limitar a caracteres numéricos y alfanuméricos,
excluyendo símbolos y sobre todo ' y ".

Saludos,

Guillermo Roldán
MCDBA, MCSE, MCSA
Madrid - Spain


"Alberto D." escribió en el mensaje
news:#
Hola desculpen por el OT,

Tengo que hacer una aplicacion con Access 2000, alguien sabe
como puedo validar inyeccion de SQL, o si es posible hacer esa
inyeccion en Access??

En Sql 2000 me protego haciendolo con stores procedures, o en el caso
de que ejecute querys, busco el simbolo de comentario "--", pero en
access no se cual sea el simbolo de comentario, y no se si se puedan
hacer
stores procedure..

Muchas gracias !!








email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida