¿Es cierto que la inyección ciega de SQL no funciona en MariaDB?

-1

Alguien en la red me dijo que MariaDB no era susceptible a la inyección ciega de SQL. No estaba al tanto de esto. ¿Alguien puede elaborar? Lo estoy usando en mi servidor y me dijeron que no cambiara a PDO porque no tenía que preocuparme por eso.

    
pregunta Ernest A Buffington 18.10.2017 - 08:54
fuente

1 respuesta

4

Encuentro eso difícil de creer, y aparentemente también lo hacen MariaDB (h / t @schroeder ).

MariaDB es una bifurcación de MySQL, y "tiene la intención de mantener una alta compatibilidad con MySQL, asegurando una capacidad de reemplazo directa con la equivalencia binaria de la biblioteca y la coincidencia exacta con las API y comandos de MySQL" según Wikipedia . Puede hacer inyección SQL a ciegas en MySQL, ¿por qué no debería poder hacerlo en MariaDB?

De hecho, la capacidad de realizar cualquier tipo de inyección SQL es una vulnerabilidad en la aplicación y no en la base de datos . Por lo tanto, su elección de la base de datos SQL no debería importar para esto.

Pero de todos modos, digamos que la persona que te dijo esto es correcta (que no lo es). ¿Significaría eso que no tiene que usar DOP o declaraciones preparadas? No, no, no, mil veces no. ¿Qué pasa con la inyección de SQL ordinaria (no ciega)? ¡Eso es aún más peligroso!

En pocas palabras, solo use DOP o declaraciones preparadas.

    
respondido por el Anders 18.10.2017 - 09:46
fuente

Lea otras preguntas en las etiquetas