Download CC6202-1 La Web de Datos 2015

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
Document related concepts
no text concepts found
Transcript 
CC3201-1
BASES DE DATOS
PRIMAVERA 2016
Clase 10: SQL (V)
El Hacker Contraataca
Acceso programático
Aidan Hogan
aidhog@gmail.com
ACCESO PROGRAMÁTICO (JAVA):
JAVA DATABASE CONNECTIVITY (JDBC)
Parte del Capítulo 6, Database Management Systems,
Ramakrishnan / Gehrke (Third Edition)
Java Database Connectivity (JDBC)
Externas
Veamos el ejemplo ApellidoApp.java
Consulta vs. Actualización
• Para hacer consultas (SELECT):
• Para hacer actualizaciones (INSERT; UPDATE, …)
Un problema …
• No hemos verificado el string de entrada
Inyección SQL
• Un usuario malintencionado puede ingresar un string
de entrada para hacer algo inesperado
Inyección SQL (muchas formas)
• Un usuario malintencionado puede ingresar un string
de entrada para hacer algo inesperado
¿Qué hace el ejemplo?
¡Devolverá todo la tabla!
Parece estúpido pero (por ejemplo) …
Más ejemplos …
https://en.wikipedia.org/wiki/SQL_injection
Más ejemplos …
https://en.wikipedia.org/wiki/SQL_injection
El Jefe de HBGary …
Inyección SQL: ¿escapar strings?
Mejor, pero sería complicado implementar la función escapar en un lenguaje de programación
general y garantizar que prevente cada tipo de inyección en cada versión (futura) de cada
sistema de BdD dado cualquier tipo de consulta y entrada!
Inyección SQL: ¡sentencias precompiladas!
Mandamos la consulta al sistema de bases de datos antes que reemplazar los
parámetros con la entrada del usuario
Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos
La consulta es compilada por el sistema sin la entrara
Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos
Se reemplaza el parámetro en la sentencia precompilada
(que es un plan en memoria, no un string)
Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos
Sentencias precompiladas
Se puede reutilizar el PreparedStatement varias veces
(es más eficiente también: se compila la sentenica sólo una vez
Se puede tener varios parámetros con varios tipos
Veamos el ejemplo ApellidoAppSegura.java
Preguntas?
Related documents
pptx - Aidan Hogan
pptx - Aidan Hogan
1. INTRODUCCION 3 1.1 ¿Qué es JDBC?
1. INTRODUCCION 3 1.1 ¿Qué es JDBC?
JDBC - DCC
JDBC - DCC
Tema V. JDBC
Tema V. JDBC
Cap8JDBC - DCC - Universidad de Chile
Cap8JDBC - DCC - Universidad de Chile
El ABC - juan alberto segundo miranda
El ABC - juan alberto segundo miranda
Acceso a bases de datos con Java-JDBC 2.0 - pro
Acceso a bases de datos con Java-JDBC 2.0 - pro
Prctica 2: Acceso a Bases de Datos con JDBC
Prctica 2: Acceso a Bases de Datos con JDBC
II Curso Online JAVA-J2EE
II Curso Online JAVA-J2EE
Java7-JDBC - DCC - Universidad de Chile
Java7-JDBC - DCC - Universidad de Chile