La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Aidan Hogan aidhog@gmail.com CC3201-1 Bases de Datos Primavera 2016 Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan aidhog@gmail.com.

Publicada porRubén Maestre García Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Aidan Hogan aidhog@gmail.com CC3201-1 Bases de Datos Primavera 2016 Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan aidhog@gmail.com."— Transcripción de la presentación:

1 Aidan Hogan aidhog@gmail.com
CC Bases de Datos Primavera Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan

2 ACCESO programático (Java): Java Database Connectivity (JDBC)
Parte del Capítulo 6, Database Management Systems, Ramakrishnan / Gehrke (Third Edition)

3 Java Database Connectivity (JDBC)
Externas

4 Veamos el ejemplo ApellidoApp.java

5 Consulta vs. Actualización
Para hacer consultas (SELECT): Para hacer actualizaciones (INSERT; UPDATE, …)

6 Un problema … No hemos verificado el string de entrada

7 Inyección SQL Un usuario malintencionado puede ingresar un string de entrada para hacer algo inesperado

8 Inyección SQL (muchas formas)
Un usuario malintencionado puede ingresar un string de entrada para hacer algo inesperado ¿Qué hace el ejemplo? ¡Devolverá todo la tabla!

9 Parece estúpido pero (por ejemplo) …

10 https://en.wikipedia.org/wiki/SQL_injection
Más ejemplos …

11 https://en.wikipedia.org/wiki/SQL_injection
Más ejemplos …

12 El Jefe de HBGary …

13 Inyección SQL: ¿escapar strings?
Mejor, pero sería complicado implementar la función escapar en un lenguaje de programación general y garantizar que prevente cada tipo de inyección en cada versión (futura) de cada sistema de BdD dado cualquier tipo de consulta y entrada!

14 Inyección SQL: ¡sentencias precompiladas!
Mandamos la consulta al sistema de bases de datos antes que reemplazar los parámetros con la entrada del usuario

15 Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos La consulta es compilada por el sistema sin la entrara

16 Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos Se reemplaza el parámetro en la sentencia precompilada (que es un plan en memoria, no un string)

17 Inyección SQL: ¡sentencias precompiladas!
El sistema de base de datos

18 Sentencias precompiladas
Se puede reutilizar el PreparedStatement varias veces (es más eficiente también: se compila la sentenica sólo una vez Se puede tener varios parámetros con varios tipos

19 Veamos el ejemplo ApellidoAppSegura.java

20 Preguntas?

Descargar ppt "Aidan Hogan aidhog@gmail.com CC3201-1 Bases de Datos Primavera 2016 Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan aidhog@gmail.com."

Presentaciones similares

FUNDAMENTALS OF THE JAVA PROGRAMMING LANGUAGE

FUNDAMENTALS OF THE JAVA PROGRAMMING LANGUAGE
Acceso a Bases de Datos con Java

Acceso a Bases de Datos con Java
Data set Data table Base de datos con servidor de base de datos String conexión Objeto conexión.

Data set Data table Base de datos con servidor de base de datos String conexión Objeto conexión.
Tema 3 J2EE Java Database Connectivity Temas Selectos de Cómputo Grupo 912.

Tema 3 J2EE Java Database Connectivity Temas Selectos de Cómputo Grupo 912.
ARCHIVOS Y CONEXIÓN A BASE DE DATOS. FileInputStream: Clase que representa ficheros de texto accedidos en orden secuencial, byte a byte. FileWriter: Clase.

ARCHIVOS Y CONEXIÓN A BASE DE DATOS. FileInputStream: Clase que representa ficheros de texto accedidos en orden secuencial, byte a byte. FileWriter: Clase.
Fernando Alonso Nicolás Serrano Acceso a Bases de Datos con Java JDBC 01 de Abril de 2008.

Fernando Alonso Nicolás Serrano Acceso a Bases de Datos con Java JDBC 01 de Abril de 2008.
Programación Orientada a Objetos II

Programación Orientada a Objetos II
JDBC Java Database Connectivity CC52N - Computación para el trabajo grupal Profesor: Nélson Baloian Por: Edgard Pineda.

JDBC Java Database Connectivity CC52N - Computación para el trabajo grupal Profesor: Nélson Baloian Por: Edgard Pineda.
REFERENCIA DIRECTA INSEGURA A OBJETOS

REFERENCIA DIRECTA INSEGURA A OBJETOS
Java Data Base Connectivity

Java Data Base Connectivity
Structured Query Language (Lenguaje Estructurado de Consultas)

Structured Query Language (Lenguaje Estructurado de Consultas)
Universidad de Chile - Tupper 2007, Santiago - Fono/Fax: (56 2) 698 8427 - cec.uchile.cl Módulo ECI - 11: Fundamentos de Redes de Computadores.

Universidad de Chile - Tupper 2007, Santiago - Fono/Fax: (56 2) cec.uchile.cl Módulo ECI - 11: Fundamentos de Redes de Computadores.
PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.

PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.
Qué es SQL? Sentencias básicas

Qué es SQL? Sentencias básicas
JDBC. Definición Java Database Conectivity El acceso a bases de datos JDBC implica abrir una conexión ejecutar comandos SQL en un sentencia procesar los.

JDBC. Definición Java Database Conectivity El acceso a bases de datos JDBC implica abrir una conexión ejecutar comandos SQL en un sentencia procesar los.
Lenguaje Estructurado de Consultas

Lenguaje Estructurado de Consultas
COMANDOS SQL. ¿QUÉ ES SQL? El lenguaje de consulta estructurado es un lenguaje declarativo que permite la creación, acceso e interacción de bases de datos.

COMANDOS SQL. ¿QUÉ ES SQL? El lenguaje de consulta estructurado es un lenguaje declarativo que permite la creación, acceso e interacción de bases de datos.
Sistema de control de versiones CVS y Subvesion. Definición: Control de versiones Un sistema de control de versiones es un sistema de gestión de múltiples.

Sistema de control de versiones CVS y Subvesion. Definición: Control de versiones Un sistema de control de versiones es un sistema de gestión de múltiples.
Curso PHP y MySQL Germán Galeano y Juan Bachiller Del 6 de Febrero al 12 de Marzo de 2012.

Curso PHP y MySQL Germán Galeano y Juan Bachiller Del 6 de Febrero al 12 de Marzo de 2012.
Diseño y Programación Orientados a Objetos1 Introducción a Java.

Diseño y Programación Orientados a Objetos1 Introducción a Java.

Presentaciones similares

Anuncios Google