La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CC Bases de Datos Otoño Clase 8: SQL: Acceso Programático,

Publicada porDomingo Olivera Contreras Modificado hace 6 años

Presentaciones similares

Presentación del tema: "CC Bases de Datos Otoño Clase 8: SQL: Acceso Programático,"— Transcripción de la presentación:

1 Aidan Hogan aidhog@gmail.com
CC Bases de Datos Otoño Clase 8: SQL: Acceso Programático, Inyecciones, Seguridad Aidan Hogan

2 Acceso programático (Java): Java Database Connectivity (JDBC)
Capítulo 6 | Ramakrishnan / Gehrke

3 Java Database Connectivity (JDBC)
Externas

4 Veremos el ejemplo ApellidoApp.java

5 Consulta vs. Actualización
Para hacer consultas (SELECT): Para hacer actualizaciones (INSERT; UPDATE, …)

6 Un problema … … no hemos “verificado” el input.
¿Hay algún problema aquí? … no hemos “verificado” el input.

7 Inyección SQL Un usuario malintencionado puede ingresar un string de entrada para hacer algo inesperado

8 Inyección SQL (muchas formas)
Un usuario malintencionado puede ingresar un string de entrada para hacer algo inesperado ¿Qué hace el ejemplo? ¡Devolverá toda la tabla!

9 Parece estúpido pero ...

10 Parece estúpido pero (por ejemplo) …

11 https://en.wikipedia.org/wiki/SQL_injection
Más ejemplos …

12 https://en.wikipedia.org/wiki/SQL_injection
Más ejemplos …

13 El Jefe de HBGary …

14 ¿Cómo podemos resolver el problema?
Inyección SQL ¿Cómo podemos resolver el problema?

15 Inyección SQL: ¿escapar los strings?
¿Cómo podemos resolver el problema? Mejor, pero sería complicado implementar la función escapar en un lenguaje de programación general y garantizar que prevente cada tipo de inyección en cada versión (futura) de cada sistema de BdD dado cualquier tipo de consulta y entrada!

16 Inyección SQL: ¡sentencias pre-compiladas!
Mandamos la consulta al sistema de bases de datos y después se reemplazarán los parámetros con la entrada del usuario

17 Inyección SQL: ¡sentencias pre-compiladas!
El sistema de base de datos La consulta es compilada por el sistema sin la entrada

18 Inyección SQL: ¡sentencias pre-compiladas!
El sistema de base de datos Se reemplaza el parámetro en la sentencia pre-compilada (que es un plan en memoria, no un string)

19 Inyección SQL: ¡sentencias pre-compiladas!
El sistema de base de datos

20 Sentencias pre-compiladas
Se puede reutilizar el PreparedStatement varias veces (es más eficiente también: se compila la sentencia sólo una vez) Se puede tener varios parámetros con varios tipos

21 Preguntas?

Descargar ppt "CC Bases de Datos Otoño Clase 8: SQL: Acceso Programático,"

Presentaciones similares

FUNDAMENTALS OF THE JAVA PROGRAMMING LANGUAGE

FUNDAMENTALS OF THE JAVA PROGRAMMING LANGUAGE
Acceso a Bases de Datos con Java

Acceso a Bases de Datos con Java
Data set Data table Base de datos con servidor de base de datos String conexión Objeto conexión.

Data set Data table Base de datos con servidor de base de datos String conexión Objeto conexión.
Tema 3 J2EE Java Database Connectivity Temas Selectos de Cómputo Grupo 912.

Tema 3 J2EE Java Database Connectivity Temas Selectos de Cómputo Grupo 912.
Fernando Alonso Nicolás Serrano Acceso a Bases de Datos con Java JDBC 01 de Abril de 2008.

Fernando Alonso Nicolás Serrano Acceso a Bases de Datos con Java JDBC 01 de Abril de 2008.
Structured Query Language (Lenguaje Estructurado de Consultas)

Structured Query Language (Lenguaje Estructurado de Consultas)
PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.

PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.
Qué es SQL? Sentencias básicas

Qué es SQL? Sentencias básicas
JDBC. Definición Java Database Conectivity El acceso a bases de datos JDBC implica abrir una conexión ejecutar comandos SQL en un sentencia procesar los.

JDBC. Definición Java Database Conectivity El acceso a bases de datos JDBC implica abrir una conexión ejecutar comandos SQL en un sentencia procesar los.
1 Clase 23: técnicas (3/4) orden recursivo iic1102 – introducción a la programación.

1 Clase 23: técnicas (3/4) orden recursivo iic1102 – introducción a la programación.
Grupo Farrera Proyecto ReportesFarrera. Problemática Apariencia en los reportes obsoleto Dificultad para el acceso a la información Dificultad para tener.

Grupo Farrera Proyecto ReportesFarrera. Problemática Apariencia en los reportes obsoleto Dificultad para el acceso a la información Dificultad para tener.
Curso PHP y MySQL Germán Galeano y Juan Bachiller Del 6 de Febrero al 12 de Marzo de 2012.

Curso PHP y MySQL Germán Galeano y Juan Bachiller Del 6 de Febrero al 12 de Marzo de 2012.
¿Que es PHP? PHP Hypertext Preprocessor Y solo porque me quiero hacer el profesor cool y meter un chiste: PHP también significa: Para Hacer Páginas.

¿Que es PHP? PHP Hypertext Preprocessor Y solo porque me quiero hacer el profesor cool y meter un chiste: PHP también significa: Para Hacer Páginas.
Administración de Sistemas Gestores de Bases de Datos.

Administración de Sistemas Gestores de Bases de Datos.
Pruebas de Funcionalidad de Software: Caja Negra y Caja Blanca Curso: Diseño de Sistemas 9no. Semestre.

Pruebas de Funcionalidad de Software: Caja Negra y Caja Blanca Curso: Diseño de Sistemas 9no. Semestre.
Conferencia 9. ODBC, OLE DB y JDBC.

Conferencia 9. ODBC, OLE DB y JDBC.
CC Bases de Datos Otoño Clase 8: SQL (IV) Acceso programático

CC Bases de Datos Otoño Clase 8: SQL (IV) Acceso programático
Aidan Hogan aidhog@gmail.com CC3201-1 Bases de Datos Primavera 2016 Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan aidhog@gmail.com.

Aidan Hogan CC Bases de Datos Primavera 2016 Clase 10: SQL (V) El Hacker Contraataca Acceso programático Aidan Hogan
CC Bases de Datos Otoño 2017 Clase 3: ER II y Álgebra Relacional

CC Bases de Datos Otoño 2017 Clase 3: ER II y Álgebra Relacional
Aidan Hogan aidhog@gmail.com CC3201-1 Bases de Datos Primavera 2016 Clase 11: Integridad, Transacciones, ACID (I) Aidan Hogan aidhog@gmail.com.

Aidan Hogan CC Bases de Datos Primavera 2016 Clase 11: Integridad, Transacciones, ACID (I) Aidan Hogan

Presentaciones similares

Anuncios Google