Re: Seguridad en PostgreSQL

Juan Martínez escribió:
> Alvaro Herrera escribió:
> >Juan Martínez escribió:
> >
> >>De hecho, yo uso una "técnica" que Postgres la permite, y hasta aquí
> >>nadie a dicho que sea mala (leyendo por internet)...
> >>
> >>$SQLcon = "SELECT nombre,descripcion FROM articulo WHERE id = '$id';";
> >>
> >>(En PHP esta vez)...
> >>
> >>El mal por inyeccion SQL no permitida se anula, pues lo que pongan en
> >>$id se considera como un string, por ende no se ejecuta, o me equivoco?
> >
> >???
> >
> >Preguntate que pasa en este caso:
> >
> >$id = "1'; delete from articulo; select 'nombre', 'descripcion";
>
> Lo ejecute tanto desde php como desde psql y solo se ejecuta el SELECT...

Tienes "magic_quotes" o algo asi activado? Prueba desactivandolo.

El problema es que muchas aplicaciones simplemente asumen que eso va a
funcionar bien, pero resulta que algun hosting tiene que desactivar
magic_quotes porque otra aplicacion asume que _no_ esta activo y ahi
empiezan los problemas. Es facil confundirse y ejecutar una aplicacion
que asume que magic_quotes va a estar activo en un servidor donde no lo
esta, y viceversa, sobre todo cuando tienes mas de una aplicacion en el
mismo servidor.

IMHO esta es una falla de PHP. magic_quotes es un parche para un
problema real de seguridad, pero lamentablemente el parche tiene sus
propios problemas.

--
Alvaro Herrera http://www.CommandPrompt.com/
PostgreSQL Replication, Consulting, Custom Development, 24x7 support