miércoles, 21 de noviembre de 2012

Curso básico de SQL Injection I

Bueno, pues me decidí iniciar la tarea de comenzar con un pequeño tutorial de sql injection, ya que he notado que la mayoría de los programadores nóveles no toman en cuenta el gran riesgo que conlleva el no tener nuestra aplicación web blindada contra este tipo de intrusión.

En primer lugar quiero aclarar que este tutorial está pensado para gente que tenga conocimientos básicos o avanzados de lenguaje SQL para consultas a bases de datos. si este no es el caso y quieres aprender puedes pedirme que inicie un curso sobre ese lenguaje.

Bueno sin más que decir vamos a comenzar:



Como todo, y aunque no nos guste, debemos empezar con un poco de teoría para entender que es el sql injection y como puede afectar a nuestras aplicaciones.

¿Que es una inyección SQL?

La vulnerabilidad a inyecciones SQL es un bug de seguridad que suele darse en sitios web aunque también puede darse en un programa normal. Se basa en un fallo en la comunicación entre el usuario final y la base de datos. Esta comunicación se hace a través de un lenguaje llamado SQL (Structured Query Language, Lenguaje Estructurado de Consultas), de ahí el nombre.

En otras palabras, para entenderlo mejor, la inyección SQL consiste en meter algunos datos, en un login por ejemplo, que produzcan una alteración en la consulta que se manda a la base de datos y de esta forma hacer que funcione a nuestro favor y poder infiltrarnos.

Bueno, hasta aquí todo bien, pero, ¿cuáles son esos datos que podemos poner?, ¿cuáles son las técnicas más utilizadas, y lo más importante, ¿cómo podemos proteger nuestras aplicaciones web de estos ataques?. bien esas preguntas las vamos a contestar en las próximas entradas de este tutorial.

Gracias por leerme y nos vemos en la próxima entrada.

No hay comentarios:

Publicar un comentario