BASES DE DATOS, SEGURIDAD

SQL INJECTION

La inyección SQL es una vulnerabilidad de bases de datos relacionales. Corresponde a un filtrado incorrecto de las variables usadas en las partes del código de un programa que usa sentencias SQL. Para que ese error en el código de un programa pueda ser usado maliciosamente, hace falta que el motor de bases de datos permita la concatenación de consultas. Por defecto, SQL Server trae esa opción habilitada, mientras que motores como MySQL o Access no.

Un usuario malintencionado escribe instrucciones de Transact-SQL en lugar de consultas válidas. Si la entrada se pasa directamente al servidor sin haber sido validada y la aplicación ejecuta el código inyectado por error, el ataque podría dañar o destruir datos.

Para la prevención de ataques SQL se requiere que, en el código de la aplicación, se tengan en cuenta métodos que validen las sentencias SQL y los datos ingresados en los formularios. Se puede, por ejemplo, implementar una función que reemplace los caracteres no deseados, como podrían ser la comilla simple, el punto y coma, los guiones simples juntos (–), etc. Los distintos lenguajes de programación ofrecen mecanismos para modificar estos caracteres. En el caso de PHP por ejemplo, existe la función mysql_real_scape_string(), que toma como parámetro una cadena y la modifica quitando caracteres especiales, retornándola totalmente segura para ser ejecutada dentro de la instrucción SQL.

Anuncios
BASES DE DATOS

TOAD

TOAD es una aplicación informática de desarrollo SQL y administración de base de datos, considerada una herramienta útil para los DBAs (administradores de base de datos). Actualmente está disponible para las siguientes bases de datos: Oracle Database, Microsoft SQL Server, IBM DB2, y MySQL.

Se ejecuta en todas las plataformas Windows de 32 bits, incluidas Windows 95, 98, NT, 2000, y XP. Los requisitos de hardware son tales que, si puedes ejecutar el sistema operativo, seguramente se ejecutará. Para conectividad backend es necesario Oracle 32-bit SQL*Net y Oracle versión 7.3.4 o posteriores.

No hay soporte para ningún entorno ajeno a Microsoft. Para esos casos, una variante de código abierto de TOAD que es independiente de la plataforma es llamada TOra.

Debe su nombre a las siglas de ‘Tool for Oracle Application Developers’ ya que en sus inicios ésta era la única base de datos con la que trabajaba.

http://www.toadworld.com/

toad.JPG

PROGRAMACIÓN

APPSERV

Appserv es una herramienta OpenSource para Windows con Apache, MySQL, PHP y otras adiciones, en la cual estas aplicaciones se configuran en forma automática, lo que permite ejecutar un servidor web completo.

Como extra incorpora phpMyAdmin para el manejo de MySQL.

Inmediatamente después de la instalación está disponible completamente funcional del servidor web Apache, que se ejecuta en el equipo local, que puede ejecutar un número ilimitado de sitios para ser muy eficaz para desarrollar y depurar scripts PHP sin subir archivos a un servidor remoto. El programa se distribuye gratuitamente bajo licencia GNU General Public License y es gratis, fácil de usar web-servidor capaz de servir páginas dinámicas. Con esta configuración, puede implementar rápidamente un equipo hecho y derecho y el servidor web rápido, con acceso desde la red local, sin necesidad de configuración adicional. Puede ser utilizado como un servidor web público en Internet.

Requisitos

Sistema operativo: Se recomienda Linux, Windows NT, Windows 2000, Windows Me, Windows Server 2003, Windows XP Windows Vista, Windows Server 2008 y Windows 7 en las versiones superiores a 2.0. Para las versiones anteriores a 2.0 se recomienda Windows 95, Windows 98

Procesador: Intel® Pentium® III 700 MHz

Memoria Ram: 128 MB

Espacio en Disco duro: 50 MB (70 MB durante la instalación)

PROGRAMACIÓN

XAMPP

XAMPP es un servidor independiente de plataforma de código libre. Permite instalar de forma sencilla Apache en tu propio ordenador, sin importar tu sistema operativo (Linux, Windows, MAC  o Solaris).

xampp-logo.png

XAMPP incluye además servidores de bases de datos como MySQL y SQLite con sus respectivos gestores phpMyAdmin y phpSQLiteAdmin. Incorpora también el intérprete de PHP, el intérprete de Perl, servidores de FTP como ProFTPD ó FileZilla FTP Server, etc. entre muchas cosas más.

XAMPP es una herramienta de desarrollo que permite probar un trabajo (páginas web o programación por ejemplo) en tu propio ordenador sin necesidad de tener que accesar a internet.

Paquetes que vienen con XAMPP

Paquetes básicos:

  • Apache, el servidor Web más famoso.
  • MySQL, una excelente base de datos de código libre.
  • PHP y Perl: lenguajes de programación.
  • ProFTPD: un servidor FTP.
  • OpenSSL: para soporte a la capa de sockets segura.

Paquetes gráficos:

  • GD (Graphics Draw): la librería de dibujo de gráficos.
  • libpng: la librería oficial de referencía de PNG.
  • libpeg: la librería oficial de referencía de JPEG.
  • ncurses: la librería de gráficos de caracteres.

Paquete de bases de datos:

  • gdbm: la implementación GNU de la librería standard dbm de UNIX.
  • SQLite: un motor de base de datos SQL muy pequeño y cero configuración.
  • FreeTDS: una librería de base de datos que da a los programas de Linux y UNIX la habilidad de comunicarse con Microsoft SQL y Sybase.

Paquetes XML:

  • expat: una librería parser de XML.
  • Salbotron: una toolkit de XML.
  • libxml: un parser C de XML y un toolkit para GNOME.

Paquetes PHP:

  • PEAR: la librería de PHP.
  • Una clase pdf que genera documentos PDF dinámicos con PHP.
  • TURCK MMCache: un potenciador de la performance de PHP.

Otros paquetes:

  • zlib: una librería de compresión.
  • mod_perl: empotra un interprete de Perl en Apache.
  • gettext: un conjunto de herramientas que asiste a los paquetes GNU para producir mensajes multilinguales.
  • mcrypt: un programa de encriptación.
  • Ming: una librería de salida en Flash.
  • IMAC C-Client: un API de correos