Definición de inyección SQL
La inyección SQL es una técnica de inyección de código, utilizada para atacar aplicaciones controladas por datos, en la que se insertan sentencias SQL maliciosas en un campo de entrada para su ejecución (por ejemplo, para volcar el contenido de la base de datos al atacante).
Cómo afecta la Inyección SQL al Android O.S
El SQLite utilizado en las aplicaciones de Android son bases de datos totalmente funcionales, por lo que, al igual que SQL Server o MySQL, pueden ser susceptibles a la inyección de SQL. La inyección SQL normalmente funciona agregando datos a la cadena de consulta o agregando datos en un campo de formulario; para dar a los piratas informáticos acceso a una base de datos o inicios de sesión no autorizados. La inyección SQL se usa generalmente para atacar vistas web o un servicio web, pero también se puede usar para atacar actividades.
La causa raíz de la vulnerabilidad de Inyección de SQL se debe al uso de consultas SQL dinámicas o concatenadas. Si las consultas SQL se construyen concatenando entradas proporcionadas por el usuario; Luego, el usuario puede suministrar vectores de ataque de SQL en lugar de entradas válidas y manipular la consulta de SQL de fondo.
El proceso de inyección funciona al terminar prematuramente una cadena de texto y agregar un nuevo comando. Debido a que el comando insertado puede tener cadenas adicionales agregadas antes de que se ejecute, la cadena inyectada termina con una marca de comentario "-". El texto posterior se ignora en el momento de la ejecución.
Mi pregunta
Aunque entiendo qué es la Inyección SQL y cómo puede tener lugar la Inyección SQL . No sé qué factores hacen que una selección de código de Android sea vulnerable a tal ataque.