La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CC Bases de Datos Otoño Clase 8: SQL (IV) Acceso programático

Publicada porHéctor Blázquez Zúñiga Modificado hace 6 años

Presentaciones similares

Presentación del tema: "CC Bases de Datos Otoño Clase 8: SQL (IV) Acceso programático"— Transcripción de la presentación:

1 Aidan Hogan aidhog@gmail.com
CC Bases de Datos Otoño Clase 8: SQL (IV) Acceso programático Aidan Hogan

2 ACCESO programático (Java): Java Database Connectivity (JDBC)
Capítulo 6 | Ramakrishnan / Gehrke

3 Java Database Connectivity (JDBC)
Externas

4 Veamos el ejemplo ApellidoApp.java

5 Consulta vs. Actualización
Para hacer consultas (SELECT): Para hacer actualizaciones (INSERT; UPDATE, …)

6 Un problema … … no hemos “verificado” el input.
¿Hay algún problema aquí? … no hemos “verificado” el input.

7 Inyección SQL Un usuario malintencionado puede ingresar un string de entrada para hacer algo inesperado

8 Inyección SQL (muchas formas)
Un usuario malintencionado puede ingresar un string de entrada para hacer algo inesperado ¿Qué hace el ejemplo? ¡Devolverá toda la tabla!

9 Parece estúpido pero (por ejemplo) …

10 https://en.wikipedia.org/wiki/SQL_injection
Más ejemplos …

11 https://en.wikipedia.org/wiki/SQL_injection
Más ejemplos …

12 El Jefe de HBGary …

13 ¿Cómo podemos resolver el problema?
Inyección SQL ¿Cómo podemos resolver el problema?

14 Inyección SQL: ¿escapar los strings?
Mejor, pero sería complicado implementar la función escapar en un lenguaje de programación general y garantizar que prevente cada tipo de inyección en cada versión (futura) de cada sistema de BdD dado cualquier tipo de consulta y entrada!

15 Inyección SQL: ¡sentencias precompiladas!
Mandamos la consulta al sistema de bases de datos y después reemplazar los parámetros con la entrada del usuario

16 Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos La consulta es compilada por el sistema sin la entrara

17 Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos Se reemplaza el parámetro en la sentencia precompilada (que es un plan en memoria, no un string)

18 Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos

19 Sentencias precompiladas
Se puede reutilizar el PreparedStatement varias veces (es más eficiente también: se compila la sentenica sólo una vez Se puede tener varios parámetros con varios tipos

20 Veamos el ejemplo ApellidoAppSegura.java

21 Preguntas?

Descargar ppt "CC Bases de Datos Otoño Clase 8: SQL (IV) Acceso programático"

Presentaciones similares

Acceso a Bases de Datos con Java

Acceso a Bases de Datos con Java
Data set Data table Base de datos con servidor de base de datos String conexión Objeto conexión.

Data set Data table Base de datos con servidor de base de datos String conexión Objeto conexión.
Tema 3 J2EE Java Database Connectivity Temas Selectos de Cómputo Grupo 912.

Tema 3 J2EE Java Database Connectivity Temas Selectos de Cómputo Grupo 912.
PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.

PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.
Qué es SQL? Sentencias básicas

Qué es SQL? Sentencias básicas
JDBC. Definición Java Database Conectivity El acceso a bases de datos JDBC implica abrir una conexión ejecutar comandos SQL en un sentencia procesar los.

JDBC. Definición Java Database Conectivity El acceso a bases de datos JDBC implica abrir una conexión ejecutar comandos SQL en un sentencia procesar los.
Base de Datos Auditoría – Orientación II Cr. Oscar Nielsen

Base de Datos Auditoría – Orientación II Cr. Oscar Nielsen
Grupo Farrera Proyecto ReportesFarrera. Problemática Apariencia en los reportes obsoleto Dificultad para el acceso a la información Dificultad para tener.

Grupo Farrera Proyecto ReportesFarrera. Problemática Apariencia en los reportes obsoleto Dificultad para el acceso a la información Dificultad para tener.
COMANDOS SQL. ¿QUÉ ES SQL? El lenguaje de consulta estructurado es un lenguaje declarativo que permite la creación, acceso e interacción de bases de datos.

COMANDOS SQL. ¿QUÉ ES SQL? El lenguaje de consulta estructurado es un lenguaje declarativo que permite la creación, acceso e interacción de bases de datos.
En bases de datos, una consulta es el método para acceder a los datos en las bases de datos. Con las consultas se puede modificar, borrar, mostrar y agregar.

En bases de datos, una consulta es el método para acceder a los datos en las bases de datos. Con las consultas se puede modificar, borrar, mostrar y agregar.
Técnicas de Estimación. La estimación de lo que costara el desarrollo del software es una actividad importante, ya que una característica que debe tener.

Técnicas de Estimación. La estimación de lo que costara el desarrollo del software es una actividad importante, ya que una característica que debe tener.
Usuarios y Perfiles en Mapuche ¿Dónde puede ingresar? ¿Qué cosas puede hacer dentro? ¿A qué información tiene acceso? N- Perfiles Funcionales1 - Perfil.

Usuarios y Perfiles en Mapuche ¿Dónde puede ingresar? ¿Qué cosas puede hacer dentro? ¿A qué información tiene acceso? N- Perfiles Funcionales1 - Perfil.
2015-BM5A. ¿Qué estructuras de Programación conocemos? Condicional: If … { } … Else …{ } Condicional por Casos: Switch (opcion) { } Repetitiva exacta:

2015-BM5A. ¿Qué estructuras de Programación conocemos? Condicional: If … { } … Else …{ } Condicional por Casos: Switch (opcion) { } Repetitiva exacta:
¿Que es PHP? PHP Hypertext Preprocessor Y solo porque me quiero hacer el profesor cool y meter un chiste: PHP también significa: Para Hacer Páginas.

¿Que es PHP? PHP Hypertext Preprocessor Y solo porque me quiero hacer el profesor cool y meter un chiste: PHP también significa: Para Hacer Páginas.
Francisco Moreno Bases de Datos II Universidad Nacional

Francisco Moreno Bases de Datos II Universidad Nacional
Conferencia 9. ODBC, OLE DB y JDBC.

Conferencia 9. ODBC, OLE DB y JDBC.
Aidan Hogan aidhog@gmail.com CC3201-1 Bases de Datos Primavera 2016 Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan aidhog@gmail.com.

Aidan Hogan CC Bases de Datos Primavera 2016 Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan
CC Bases de Datos Otoño 2017 Clase 3: ER II y Álgebra Relacional

CC Bases de Datos Otoño 2017 Clase 3: ER II y Álgebra Relacional
Seguridad en Bases de Datos

Seguridad en Bases de Datos
Aidan Hogan aidhog@gmail.com CC3201-1 Bases de Datos Primavera 2016 Clase 11: Integridad, Transacciones, ACID (I) Aidan Hogan aidhog@gmail.com.

Aidan Hogan CC Bases de Datos Primavera 2016 Clase 11: Integridad, Transacciones, ACID (I) Aidan Hogan

Presentaciones similares

Anuncios Google