como enviar nombre de tabla como parametro ?

[ecfisa]

Hola sabueso1010.

Una aclaración, cuando dije:

Cita:

No podés pasar el nombre de la tabla a una consulta así en forma directa, vas a tener que crearte un procedimiento para la tarea.

Me estaba refiriendo a que no podés enviar el nombre de tabla en un parámetro como está en el código que adjuntas en el mensaje #1.

Del modo que te sugiere defcon1_es si se puede, pero deja el código expuesto a la Inyección SQL.

Saludos.

[abelg]

Hola, mira este código y espero te ayude.

Código Delphi [-]
qtabla:=dbserver+'\@viajes.db';
 with data.qapagos do
 begin
    close;
    SQL.Clear;
    SQL.ADD('select * from _tabla  where referencia = :xreferencia ');
    SQL.Text := StringReplace(SQL.Text, '_tabla', qtabla, [rfReplaceAll, rfIgnoreCase]);
    parambyname("xreferencia").asinteger:=_referencia;
    open;
 end;

solo que al formar tu consulta por código no le veo sentido pero esto funciona, correctamente.
ojo. qtabla tiene que ser un variable tipo string

[defcon1_es]

Cita:

Empezado por ecfisa

Hola sabueso1010.

Una aclaración, cuando dije:

Me estaba refiriendo a que no podés enviar el nombre de tabla en un parámetro como está en el código que adjuntas en el mensaje #1.

Del modo que te sugiere defcon1_es si se puede, pero deja el código expuesto a la Inyección SQL.

Saludos.

Me has dejado intrigado, pero en el ejemplo ¿cómo se podría inyectar código SQL si el nombre de la tabla no lo puede teclear un usuario?
¿modificando en memoria el contenido de la variable qTabla?

Voy a buscar más referencias sobre inyecciones de código SQL y sobre todo herramientas para el análisis de este tipo de vulnerabilidad.

[sabueso1010]

solucionado con el codigo de defcon1_es que es

Código Delphi [-]
qtabla:=dbserver+'\@viajes.db';
with data.qapagos do
begin
  close;
  SQL.Clear;
  SQL.ADD('select * from '+QuotedStr(qtabla)+' where referencia = :xreferencia ');
  parambyname('xreferencia').asinteger:=_referencia;
  open;
end;

y muy importante tanto como el codigo el consejo de ECFISA, hay que tomar
en cuenta mucho que asi el codigo queda expuesto a inyeccion, muy cierto. por el momento sali del problema con el codigo pero si hay que considerar lo que nos dice ECFISA.

gracias a todos los que coolaboraron con este hilo y espero le sirva en el futuro a alguien mas.

saludos.

[ecfisa]

Cita:

Empezado por defcon1_es

Me has dejado intrigado, pero en el ejemplo ¿cómo se podría inyectar código SQL si el nombre de la tabla no lo puede teclear un usuario?

Hola defcon1_es.

Si el valor es asignado por código yo tampoco veo la posibilidad de hacerlo. Mi comentario fué por que no ví de que manera sabueso1010 asignaba el valor a la variable, por lo que el código SQL bién podría haber quedado expuesto.

Ahora revisando con más detenimiento véo que no reparé bién en el mensaje #8 donde sabueso1010 dice:

Cita:

...
por eso al campo qtabla le asigno la cadena

qtabla:=dbserver+'\@viajes.db'
....

Así que en este caso, creo como vos, que no es factible.

Al igual que comentás en tu último mensaje, yo también tendría que profundizar más sobre si aún así existe la posibilidad, ya que es una vulnerabilidad potencial muy peligrosa.
Lo que es claro que con el uso de parámetros no es viable la inyección.

Un saludo.

[defcon1_es]

Y tanto que es peligrosa:

"existen alrededor de 115 millones de vulnerabilidades de inyección SQL en circulación,
basándose en los datos conseguidos mediante la monitorización de un conjunto de 30 aplicaciones web durante los pasados nueve meses."

Noticia: http://www.csospain.es/Los-ataques-d...noticia-113621