gracias Horacio por tu aporte On Thu, Mar 14, 2024 at 8:03 PM Horacio Miranda <hmira...@gmail.com> wrote:
> no creo que esa persona sepa bien lo que es SQL Injection. > > Si bien un parametro puede hacer que sea más restrictivo el postgresql el > concepto es simple, Prepared Statements. Si tu aplicación no las tiene, te > pueden hacer SQL Injection > > SQL Injection | OWASP Foundation > <https://owasp.org/www-community/attacks/SQL_Injection> > owasp.org <https://owasp.org/www-community/attacks/SQL_Injection> > [image: favicon.ico] > <https://owasp.org/www-community/attacks/SQL_Injection> > <https://owasp.org/www-community/attacks/SQL_Injection> > > Este parametro “standard_conforming_strings” se refiere a como tratar el > caracter especial backslash “\” usualmente es un caracter comoding para > indicar en expresiones regulares, trata el sigueinte caracter como string > no como algo especial. por lo que dice es algo forzado en on y se puede > apagar. > > Esto no tiene relación con un SQL Injection. > > > On 14/03/2024, at 9:47 PM, felix gonzales <jfgonza...@gmail.com> wrote: > > Buenas noches. > > Esperaba algún comentario a la consulta, que hice en la mañana, ya que > necesito brindar una respuesta a las afirmaciones hechas por otra persona > en mi empresa quien manifiesta que el parámetro > "standard_conforming_strings en off, pondría en riesgo el servidor al nivel > de dejar abierta la amenaza de provocar inyecciones de SQL y problemas de > seguridad similares" > y hace referencia a esta documentación: > https://www.postgresql.org/docs/14/sql-syntax-lexical.html > > Revisando dicho enlace hallé lo siguiente: > > "4.1.2.3. String Constants With Unicode Escapes > ..... > Also, the Unicode escape syntax for string constants only works when the > configuration parameter standard_conforming_strings > <https://www.postgresql.org/docs/14/runtime-config-compatible.html#GUC-STANDARD-CONFORMING-STRINGS> > is > turned on. This is because otherwise this syntax could confuse clients that > parse the SQL statements to the point that it could lead to SQL injections > and similar security issues. If the parameter is set to off, this syntax > will be rejected with an error message." > > Este párrafo no me queda muy claro (en la última línea indica que si el > parámetro está en off la sintaxis se rechaza con un mensaje de error), > por ello pedía opiniones. > > Tengo claro que actualizar la función es lo más conveniente para evitar > mover el parámetro. Pero también necesito sustentar una respuesta que > estando en off no es tan grave como lo indica o me equivoco?. > > > On Thu, Mar 14, 2024 at 10:55 AM felix gonzales <jfgonza...@gmail.com> > wrote: > >> Buenos días grupo >> Comentarles que tengo una base de datos con postgres-14, dentro de la >> cual hay una función migrada desde postgres-9. Para que funcione >> adecuadamente debo cambiar el parámetro "standard_conforming_strings" a >> off y así evitar el warning. >> >> consulta: El dejar el parámetro en off, pondría en riesgo mi servidor al >> nivel de dejar abierta la amenaza de provocar inyecciones de SQL y >> problemas de seguridad similares? >> >> Quedo atento a sus comentarios. >> >> Gracias >> -- >> Felix Gonzales >> >> > > -- > Felix Gonzales > > > -- Felix Gonzales
favicon.ico
Description: Binary data
