Hola gente, soy nuevo aqui en el foro pero estoy en esto hace unos cuantos meses, debido a problemas con el trabajo y estudio no puedo practicar mucho, solo leo y cada tanto practico, por ahora voy bien.
No se si esta consulta va aqui o no, solo lo puse aca porque en el foro de sql veo que no hay mucho movimiento y necesito que alguien me responda la consulta porque yo realmente no se si es asi y no encontre mucha informacion al respecto.
Es sobre inyeccion sql... resulta que tengo un par de sitios, que usan un script que en su version free o crackeada esta mal escrito, y tiene un par de errores grandes por donde se le meten inyecciones sql y me borran los datos de los historiales y demas.
Averiguando un poco en google, llegue a un post donde explicaba que ese en la inyeccion sql se ejecutan los comandos, y usa al usuario autorizado para manejar esa base de datos, y que si por ejemplo yo le impido desde el CPANEL al usuario X que tenga los derechos de "delete" y "drop", que la inyeccion sql fallaria y no podrian resetear la base de datos a cero.
Es correcto eso?
espero que haya sido claro... por las dudas ahora explico un poco mas...
Por lo que lei, entendi que al momento que se manda el comando delete mediante la inyeccion sql, este comando para la base de datos seria ejecutado por el usuario que yo previamente autorice en ese script, por ejemplo USUARIO X.
Entonces en la inyeccion se hace ver como que USUARIO X manda a la BASE Y (TABLA M) la orden de DROP o DELETE y borraria todo el contenido de la tabla, correcto?
Bueno, si yo al momento de darle permisos a ese usuario sobre esa base de datos NO LO AUTORIZO a usar los comandos DELETE y DROP supuestamente la inyeccion sql con esos comandos no haria efecto en la base.
Es correcto eso? porque de ser cierto, me estoy solucionando muchos problemas, dado que el script no necesita las funciones de borrar porque ya probe y no las usa para nada, y sigue funcionando normalmente...
Les pido si alguien que tenga minimo conocimiento sobre el tema de inyecciones sql pueda darme su opinion al respecto. Lamentablemente yo no se tanto como para ejecutar una inyeccion de prueba contra mi propio script paar ver si pasa o no pasa los permisos que le di al usuario, por eso postee aca, para que personas mas experimentadas que yo me colaboren con esa respuesta
Aguardo sus comentarios y desde ya muchas gracias.
Damian
PD: administradoreS: en caso de que el post no vaya aca les pido que me disculpen, pero es que en sql no hay mucho movimiento.
Saludos
Autor