no creo que esa persona sepa bien lo que es SQL Injection. Si bien un parametro puede hacer que sea más restrictivo el postgresql el concepto es simple, Prepared Statements. Si tu aplicación no las tiene, te pueden hacer SQL Injection
https://owasp.org/www-community/attacks/SQL_Injection Este parametro “standard_conforming_strings” se refiere a como tratar el caracter especial backslash “\” usualmente es un caracter comoding para indicar en expresiones regulares, trata el sigueinte caracter como string no como algo especial. por lo que dice es algo forzado en on y se puede apagar. Esto no tiene relación con un SQL Injection. > On 14/03/2024, at 9:47 PM, felix gonzales <jfgonza...@gmail.com> wrote: > > Buenas noches. > > Esperaba algún comentario a la consulta, que hice en la mañana, ya que > necesito brindar una respuesta a las afirmaciones hechas por otra persona en > mi empresa quien manifiesta que el parámetro "standard_conforming_strings en > off, pondría en riesgo el servidor al nivel de dejar abierta la amenaza de > provocar inyecciones de SQL y problemas de seguridad similares" > y hace referencia a esta documentación: > https://www.postgresql.org/docs/14/sql-syntax-lexical.html > > Revisando dicho enlace hallé lo siguiente: > > "4.1.2.3. String Constants With Unicode Escapes > ..... > Also, the Unicode escape syntax for string constants only works when the > configuration parameter standard_conforming_strings > <https://www.postgresql.org/docs/14/runtime-config-compatible.html#GUC-STANDARD-CONFORMING-STRINGS> > is turned on. This is because otherwise this syntax could confuse clients > that parse the SQL statements to the point that it could lead to SQL > injections and similar security issues. If the parameter is set to off, this > syntax will be rejected with an error message." > > Este párrafo no me queda muy claro (en la última línea indica que si el > parámetro está en off la sintaxis se rechaza con un mensaje de error), por > ello pedía opiniones. > > Tengo claro que actualizar la función es lo más conveniente para evitar mover > el parámetro. Pero también necesito sustentar una respuesta que estando en > off no es tan grave como lo indica o me equivoco?. > > > On Thu, Mar 14, 2024 at 10:55 AM felix gonzales <jfgonza...@gmail.com > <mailto:jfgonza...@gmail.com>> wrote: >> Buenos días grupo >> Comentarles que tengo una base de datos con postgres-14, dentro de la cual >> hay una función migrada desde postgres-9. Para que funcione adecuadamente >> debo cambiar el parámetro "standard_conforming_strings" a off y así evitar >> el warning. >> >> consulta: El dejar el parámetro en off, pondría en riesgo mi servidor al >> nivel de dejar abierta la amenaza de provocar inyecciones de SQL y >> problemas de seguridad similares? >> >> Quedo atento a sus comentarios. >> >> Gracias >> -- >> Felix Gonzales >> > > > -- > Felix Gonzales >
