BASES DE DATOS, SEGURIDAD

SQL INJECTION

La inyección SQL es una vulnerabilidad de bases de datos relacionales. Corresponde a un filtrado incorrecto de las variables usadas en las partes del código de un programa que usa sentencias SQL. Para que ese error en el código de un programa pueda ser usado maliciosamente, hace falta que el motor de bases de datos permita la concatenación de consultas. Por defecto, SQL Server trae esa opción habilitada, mientras que motores como MySQL o Access no.

Un usuario malintencionado escribe instrucciones de Transact-SQL en lugar de consultas válidas. Si la entrada se pasa directamente al servidor sin haber sido validada y la aplicación ejecuta el código inyectado por error, el ataque podría dañar o destruir datos.

Para la prevención de ataques SQL se requiere que, en el código de la aplicación, se tengan en cuenta métodos que validen las sentencias SQL y los datos ingresados en los formularios. Se puede, por ejemplo, implementar una función que reemplace los caracteres no deseados, como podrían ser la comilla simple, el punto y coma, los guiones simples juntos (–), etc. Los distintos lenguajes de programación ofrecen mecanismos para modificar estos caracteres. En el caso de PHP por ejemplo, existe la función mysql_real_scape_string(), que toma como parámetro una cadena y la modifica quitando caracteres especiales, retornándola totalmente segura para ser ejecutada dentro de la instrucción SQL.

BASES DE DATOS

TOAD

TOAD es una aplicación informática de desarrollo SQL y administración de base de datos, considerada una herramienta útil para los DBAs (administradores de base de datos). Actualmente está disponible para las siguientes bases de datos: Oracle Database, Microsoft SQL Server, IBM DB2, y MySQL.

Se ejecuta en todas las plataformas Windows de 32 bits, incluidas Windows 95, 98, NT, 2000, y XP. Los requisitos de hardware son tales que, si puedes ejecutar el sistema operativo, seguramente se ejecutará. Para conectividad backend es necesario Oracle 32-bit SQL*Net y Oracle versión 7.3.4 o posteriores.

No hay soporte para ningún entorno ajeno a Microsoft. Para esos casos, una variante de código abierto de TOAD que es independiente de la plataforma es llamada TOra.

Debe su nombre a las siglas de ‘Tool for Oracle Application Developers’ ya que en sus inicios ésta era la única base de datos con la que trabajaba.

http://www.toadworld.com/

toad.JPG