{"id":29024,"date":"2021-08-14T13:25:34","date_gmt":"2021-08-14T13:25:34","guid":{"rendered":"https:\/\/www.conectasoftware.com\/glossary\/inyeccion-de-sql\/"},"modified":"2023-07-05T20:42:03","modified_gmt":"2023-07-05T20:42:03","slug":"inyeccion-de-sql","status":"publish","type":"glossary","link":"https:\/\/www.conectasoftware.com\/magazine\/glosario\/inyeccion-de-sql\/","title":{"rendered":"Inyecci\u00f3n de SQL<\/span>"},"content":{"rendered":"

\u00bfQu\u00e9 es una Inyecci\u00f3n de SQL?<\/b><\/h2>\n

Una inyecci\u00f3n de SQL es un m\u00e9todo por el cual, se infiltra c\u00f3digo intruso a trav\u00e9s de una vulnerabilidad que se encuentra presente en una aplicaci\u00f3n haciendo uso del lenguaje de consultas SQL en una base de datos.\u00a0<\/span><\/p>\n

Se dice que se produce una inyecci\u00f3n de SQL en el momento en el que se inserta una sentencia SQL dentro de un c\u00f3digo SQL programado, con la finalidad de alterar el funcionamiento normal de la aplicaci\u00f3n y lograr as\u00ed que se ejecute la porci\u00f3n de c\u00f3digo invasor incrustado dentro de la base de datos, independientemente de si se trata de una aplicaci\u00f3n de escritorio o de una aplicaci\u00f3n web (entre otros).<\/span><\/p>\n

Adem\u00e1s, se trata a nivel de seguridad inform\u00e1tica<\/a> como un problema, y se debe tener siempre en cuenta por parte del programador para que sea prevenida.<\/span><\/p>\n

\u00bfCu\u00e1ndo aparecieron las inyecciones de SQL?<\/b><\/h2>\n

La primera vez que se habl\u00f3 de inyecciones de SQL fue en el a\u00f1o 1998 gracias al afamado hacker James Forristal, qui\u00e9n hac\u00eda uso del nickname Rain Forest Puppy a trav\u00e9s de un art\u00edculo en el que describ\u00eda una t\u00e9cnica novedosa. Dicho art\u00edculo se llam\u00f3 <\/span>NT Web Technology Vulnerabilities<\/b> (ya que en aquellos a\u00f1os se hac\u00eda uso del sistema operativo Windows NT) y describ\u00eda que, a trav\u00e9s de <\/span>conexiones ODBC<\/b> junto con un <\/span>servidor de datos Microsoft SQL Server 6.5<\/b> se pod\u00edan ejecutar consultas y comandos usando el lenguaje SQL.\u00a0<\/span><\/p>\n

La vulnerabilidad consist\u00eda en que, a trav\u00e9s de la inyecci\u00f3n de c\u00f3digo SQL en una aplicaci\u00f3n (por lo general una aplicaci\u00f3n web) se pod\u00eda modificar la manera en la que se realizaban las consultas a una base de datos consiguiendo as\u00ed, evadir los mecanismos de seguridad que exist\u00edan, ejecutar comandos en el servidor o recuperar datos sensibles (entre muchas otras).<\/span><\/p>\n

\u00bfPara qu\u00e9 utilizan los atacantes las Inyecciones de SQL?<\/b><\/h2>\n

Los ataques de inyecci\u00f3n de SQL son utilizados con el objetivo de tener un acceso m\u00e1s directo y profundo de la base de datos administrativa de una aplicaci\u00f3n. Se intenta recuperar correos electr\u00f3nicos y contrase\u00f1as e informaci\u00f3n financiera y confidencial vali\u00e9ndose de que los usuarios no tienen la costumbre de utilizar distintas contrase\u00f1as en distintas plataformas, si no siempre utilizar la misma.<\/span><\/p>\n

Un informe presentado por <\/span>Akamai<\/span><\/a> del 2019 expon\u00eda que el 36% de los ataques a entidades financieras se hac\u00eda a trav\u00e9s de inyecciones de SQL.<\/span><\/p><\/blockquote>\n

\u00bfC\u00f3mo combatir las inyecciones de SQL?<\/b><\/h2>\n

Existen varios enfoques generales de c\u00f3mo prevenir las inyecciones SQL de una aplicaci\u00f3n:<\/span><\/p>\n