Problemas de inyección SQL

Las inyecciones son causadas por delimitadores ambiguos al concatenar cadenas en lenguajes de programación. Hay dos formas generales de escritura que conducen a la inyección

1.

cmd

=

"SELECT

*

DESDE

[Tabla]

DÓNDE

ID

==

"

+

ID

En este caso, el ID empalmado en el comando debe ser un número, y cuando el ID es un cadena, dará como resultado un error, por ejemplo:

"SELECT

*

FROM

[Tabla]

DÓNDE

ID

==

". Por ejemplo:

ID

=

"10"

ID correcto

>

"0

O

VERDADERO"

Esto provocará una inyección

Para evitar Para este problema, debe verificar fila por fila si el ID es un número. p>

o

''

=

'"

Esto dará como resultado un SQL inyectado. la declaración SE CONVIERTE en

SELECT

*

DESDE

[Tabla]

DONDE

Nombre

=

'Nombre'

o

''

=

''

Para evitar este problema, realice una verificación de línea en Nombre para ver si contiene una comilla simple y, de ser así, reemplácela con dos comillas simples consecutivas

<. Cualquier navegador puede realizar pruebas de vulnerabilidad de inyección.

En cuanto al problema de la herramienta, depende de qué herramienta esté utilizando y si tiene esta funcionalidad.