Preguntas con etiqueta 'sql-injection'

2
respuestas

Inyección de SQL: Eliminar todas las tablas

Utilicé algunos escáneres de vulnerabilidades para verificar un sitio mío y se devolvió una instancia de inyección ciega de SQL. Sin embargo, cuando intento explotar esta vulnerabilidad al ingresar lo siguiente en la barra de direcciones, no suc...
hecha 07.04.2013 - 17:34
2
respuestas

¿Qué es la inyección SQL?

¿Cuál es el significado de inyección SQL? No soy capaz de entender el término. ¿Y qué problemas pueden ser causados por la inyección de SQL?     
hecha 24.01.2012 - 12:16
3
respuestas

¿Qué tipo de ataque fue este?

Así que nuestro sitio web fue pirateado, y estas son las cosas que se hicieron: Se han cambiado algunas entradas en la base de datos. No sé si esto fue a través de inyección de SQL o acceso directo a la base de datos (solo se permite a la r...
hecha 14.05.2013 - 10:53
3
respuestas

¿Cómo demostrar la inyección de SQL?

Tengo líneas en mi código PHP / MySQL que tienen este aspecto: ... $sqlquery = "SELECT price FROM products WHERE 1=1 AND id=".$_POST['id']; ... ... query is executed ... echo $price; Como prueba / demostración, ¿cómo puedo subvertir esto pa...
hecha 01.03.2011 - 15:21
2
respuestas

¿Cuáles son los problemas de las inyecciones de SQL de las consultas parametrizadas?

He escrito algún código para generar una consulta SQL en ASP clásico. No estoy seguro de si es seguro o no: Set adoCon = Server.CreateObject("ADODB.Connection") adoCon.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath(...
hecha 15.08.2011 - 08:01
1
respuesta

¿En qué se diferencia la inyección SQL basada en el tiempo de otros tipos de inyección SQL?

Entiendo qué es una inyección SQL basada en el tiempo, y entiendo cómo funciona (al menos cómo se detecta / explota). Sin embargo, ¿hay algo en específico que haga que este tipo de inyección sea diferente a decir inyección ciega a base de boo...
hecha 23.10.2013 - 15:58
3
respuestas

Inyección SQL si no se conoce la estructura de la tabla / estructura de la base de datos

¿podría un atacante que acaba de descubrir que estás usando mysql realizar un ataque de inyección SQL solo con esta información? Si no sabe alguna tabla / nombre de db, ¿cómo puede averiguarlo? ¿Es eso posible y cómo evitar eso? Gracias     
hecha 14.11.2014 - 08:54
5
respuestas

Inyección de SQL en una aplicación no web

¿Alguien sabe de un buen ejemplo de una vulnerabilidad de Inyección de SQL que no está en una aplicación web? ¿Cuál es la entrada del usuario para este ataque? Estoy buscando una verdadera vulnerabilidad, no especulación. La siguiente imagen es...
hecha 19.05.2011 - 18:32
3
respuestas

Entrada de desinfección para consultas parametrizadas

Si utilizo consultas totalmente parametrizadas en todas partes, ¿sigue siendo necesario y / o relevante para la seguridad sanear de alguna manera la entrada? P.ej. ¿Verifica que las direcciones de correo sean válidas antes de enviar una consulta...
hecha 27.10.2017 - 13:09
4
respuestas

¿Cómo el procedimiento almacenado impide la inyección de SQL?

Puede que no tenga muy claro el procedimiento almacenado. Alguien me puede explicar cómo el procedimiento almacenado previene la inyección de SQL con un ejemplo simple usando MySql.     
hecha 01.10.2014 - 08:12