¿Qué es un ataque SQL?

Anthony 11:46:00 Dejar un Comentario
Un ataque de SQL o un ataque de inyección SQL, consiste en la inserción, o la inyección de código malicioso en los valores o variables, que un usuario introduce en un programa de computadora. El código malicioso está vinculada, o concatenadas, con los legítimos mandatos de SQL para producir un comando que produce resultados inesperados.

 

SQL

  • SQL Server, también conocido como Estructura de lenguaje de consulta, es un lenguaje estándar de la industria para la creación, actualización y consulta de bases de datos relacionales o bases de datos que comprenden varios archivos de información relacionada, por lo general almacenados en las tablas de filas y columnas. SQL es a menudo integrados en los lenguajes de programación de propósito general para crear programas que permiten a los usuarios interactuar con una base de datos. Un programa puede incluir instrucciones SQL, tales como "SELECT * FROM nombretabla DONDE nombre de tabla. Nombredevariable nombre de campo =" en el que nombretabla es el nombre de una tabla en la base de datos, nombre del campo es el nombre de una columna, o en el campo, en esa tabla, y es un nombredevariable valor de entrada por el usuario.

Gravedad

  • La severidad de un ataque SQL sólo está limitado por la imaginación del atacante y la habilidad. Por estratégica de insertar el punto y coma (;) y un guión doble (-) personajes, que delimitan los comandos SQL y los comentarios, respectivamente - los atacantes puede terminar antes de tiempo los comandos existentes y añadir sus propios comandos nuevos. Estos nuevos comandos podría, por ejemplo, extraer datos sensibles de la base de datos, modificar o eliminar datos, o de conceder todos los privilegios administrativos atacantes a la base de datos. En el ejemplo anterior, si la instrucción SQL lee "SELECT * FROM nombretabla donde tablename nombre de campo = '". + + Nombredevariable' ";, un usuario puede introducir comandos adicionales de SQL y así montar una consulta algo así como" SELECT * FROM nombretabla.nombrecampo = 'algúnvalor'; DROP TABLE nombretabla.

0 comentarios:

Publicar un comentario