| From: | Alvaro Herrera <alvherre(at)commandprompt(dot)com> |
|---|---|
| To: | Juan Martínez <jeugenio(at)umcervantes(dot)cl> |
| Cc: | Gunnar Wolf <gwolf(at)gwolf(dot)org>, Alejandro Gasca <agasca(at)yahoo(dot)com>, "Mario Gonzalez ( mario__ )" <gonzalemario(at)gmail(dot)com>, Jaime Casanova <systemguards(at)gmail(dot)com>, Roberto Pupo <roberto(dot)pupo(at)gmail(dot)com>, pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: Seguridad en PostgreSQL |
| Date: | 2006-11-04 21:14:19 |
| Message-ID: | 20061104211419.GA896@alvh.no-ip.org |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Juan Martínez escribió:
> De hecho, yo uso una "técnica" que Postgres la permite, y hasta aquí
> nadie a dicho que sea mala (leyendo por internet)...
>
> $SQLcon = "SELECT nombre,descripcion FROM articulo WHERE id = '$id';";
>
> (En PHP esta vez)...
>
> El mal por inyeccion SQL no permitida se anula, pues lo que pongan en
> $id se considera como un string, por ende no se ejecuta, o me equivoco?
???
Preguntate que pasa en este caso:
$id = "1'; delete from articulo; select 'nombre', 'descripcion";
--
Alvaro Herrera http://www.CommandPrompt.com/
PostgreSQL Replication, Consulting, Custom Development, 24x7 support
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Juan Martínez | 2006-11-04 21:19:52 | Re: Seguridad en PostgreSQL |
| Previous Message | Juan Martínez | 2006-11-04 20:08:47 | Re: Seguridad en PostgreSQL |