Buenas noches. Esperaba algún comentario a la consulta, que hice en la mañana, ya que necesito brindar una respuesta a las afirmaciones hechas por otra persona en mi empresa quien manifiesta que el parámetro "standard_conforming_strings en off, pondría en riesgo el servidor al nivel de dejar abierta la amenaza de provocar inyecciones de SQL y problemas de seguridad similares" y hace referencia a esta documentación: https://www.postgresql.org/docs/14/sql-syntax-lexical.html
Revisando dicho enlace hallé lo siguiente: "4.1.2.3. String Constants With Unicode Escapes ..... Also, the Unicode escape syntax for string constants only works when the configuration parameter standard_conforming_strings <https://www.postgresql.org/docs/14/runtime-config-compatible.html#GUC-STANDARD-CONFORMING-STRINGS> is turned on. This is because otherwise this syntax could confuse clients that parse the SQL statements to the point that it could lead to SQL injections and similar security issues. If the parameter is set to off, this syntax will be rejected with an error message." Este párrafo no me queda muy claro (en la última línea indica que si el parámetro está en off la sintaxis se rechaza con un mensaje de error), por ello pedía opiniones. Tengo claro que actualizar la función es lo más conveniente para evitar mover el parámetro. Pero también necesito sustentar una respuesta que estando en off no es tan grave como lo indica o me equivoco?. On Thu, Mar 14, 2024 at 10:55 AM felix gonzales <jfgonza...@gmail.com> wrote: > Buenos días grupo > Comentarles que tengo una base de datos con postgres-14, dentro de la cual > hay una función migrada desde postgres-9. Para que funcione adecuadamente > debo cambiar el parámetro "standard_conforming_strings" a off y así evitar > el warning. > > consulta: El dejar el parámetro en off, pondría en riesgo mi servidor al > nivel de dejar abierta la amenaza de provocar inyecciones de SQL y > problemas de seguridad similares? > > Quedo atento a sus comentarios. > > Gracias > -- > Felix Gonzales > > -- Felix Gonzales
