Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- #!/usr/bin/env python
- # -*- coding: utf-8 -*-
- #
- # Ejemplo de inyección SQL
- from pprint import pprint
- import sqlite3
- conn = sqlite3.connect("base.sqlite")
- cursor = conn.cursor()
- nombre = input("Nombre: ")
- edad = int(input("Edad: "))
- # forma no recomendada, susceptible de un ataque de sql injection
- # ataque:
- # >> Nombre: ALEJANDRO',44);DELETE FROM Personas; --
- # >> Edad: 44
- cursor.executescript(f"INSERT INTO Personas Values('{nombre}', {edad})")
- conn.commit()
- cursor.execute("SELECT * FROM Personas")
- datos = cursor.fetchall()
- if datos:
- pprint(datos)
- else:
- print("No hay datos")
- # cierro la base de datos
- conn.close()
- # analicemos el ataque:
- """
- INSERT INTO Personas Values('ALEJANDRO',44);DELETE FROM Personas; --', 44
- conn.commit()
- """
Add Comment
Please, Sign In to add comment