La compañía para la que trabajo se ha mudado recientemente a un proveedor externo para servicios de nómina. Hicimos una carga inicial de datos de nuestro sistema anterior al nuevo proveedor. Me di cuenta de que nuestros empleados que tienen apóstrofes en sus nombres (O’Riley por ejemplo) ya no estaban emparejándose con otros sistemas. El nuevo proveedor de nómina había eliminado los apóstrofes. Podemos volver a agregar manualmente el apóstrofe a través del front-end basado en web, y ejecutar un informe inmediatamente después de que el cambio muestre el apóstrofe, pero el personaje se elimina al día siguiente.
Cuando pregunté al proveedor de la nómina sobre los caracteres eliminados, se me informó que "el sistema eliminará automáticamente las comillas, ya que son problemáticas en la base de datos". Se recomendó que usáramos el carácter grave (comilla simple hacia atrás) porque se parece a una comilla simple.
Mi pregunta es la siguiente: ¿La incapacidad para manejar las cotizaciones (simple o doble) en una base de datos indicativa de vulnerabilidad a la inyección de SQL y existe una forma segura y legal de probar o refutar esta vulnerabilidad?
Este es un sistema de nómina y tengo dudas para intentar descubrir alguna vulnerabilidad en el sistema en vivo y no tengo acceso a un sistema de prueba.