Buscando documentación para mysql, me he encontrado esto. A los programadores web seguro que les saca una sonrisa. No es a la primera web a la que le pasa, pero bueno, no está mal recordar que las consultas SQL no deben salir por pantalla ;)

La Brigada de Investigación Tecnológica señala que los detenidos accedieron al servidor donde se alojaba la citada base de datos y, mediante técnicas conocidas como inyección de SQL (Structured Query Language), sustrajeron documentos y comunicaciones privadas de los usuarios. Parte de la información sustraída junto con la descripción de cómo acceder de forma fraudulenta a dichos archivos fue publicada en otra página web, administrada por uno de los detenidos y ahora clausurada por orden judicial, www.busindre.com.

Uno de los principales problemas de las bases de datos SQL es la enorme complejidad que supone mapear datos relativamente sencillos y con un gran volumen de tamaño. El NoSQL es ideal para entornos principalmente web que augmentan exponencialmente su volumen de datos pero no la complejidad de los mismos, con lo que los famosos cuellos de botella generados por las BBDD tradicionales es irrelevante en estos entornos, ya que respecto al SQL tradicional y no tener que realizar la traducción de los datos hacia un formato amigable.

¿Qué confianza da una empresa que se dedica a dar sellos de "confianza" y su Web tiene un clarísimo "SQL Injection"? Para los que no lo sepan, el SQL Injection es una técnica usada por los hackers para poder inyectar en los parámetros de las direcciones Web, comandos con el fín de poder ejecutar otros códigos a los que se deberían en una página Web.

Un hacker rumano ha conseguido hacer uso de exploits e inyección de código SQL en la página del parlamento británico dejando al descubierto las claves de administración de la web entre otros, mostrando la precaria seguridad de la web. El hacker, Unu, realiza de forma periódica comprobaciones de sitios web de alto rango frente a ese tipo de vulnerabilidades. En particular a Kaspersky, BitDefender, F-Secure, Symantec, The International Herald Tribute, The Telegraph y British Telecom, entre otros...

Un hacker, greyhat ha descubierto una vulnerabilidad de inyección SQL crítica en el foro de Yahoo!. El fallo puede ser utilizado para leer la información acerca de las cuentas administrativas y de usuario o cargar un intérprete de comandos en el servidor.

Según podemos leer en The Register, hackers maliciosos han conseguido infectar alrededor de 55.000 webs con un potente cocktail de exploits que va enfocado a aplicaciones vulnerables e instalará malware en los equipos visitantes. Los exploits instalan un buen kis de software dañino: Gologger, keylogger y un a puerta trasera que intenta conectar con una página web hospedada en China, según la investigadora de seguridad Mary Landesman de la compañía de protección frente a malware ScanSafe.

c&p: La técnica utilizada para colarse en la red de las cadenas comerciales se conoce como Structured Query Language Injection Attacks. Se trata de un sofisticado lenguaje de programación que utilizan los hackers para saltar los cortafuegos que protegen las bases de datos conectadas a Internet.

Se pueden crear gráficas tipo tarta (pie chart) con los datos de una base de datos. Todo hecho únicamente con sentencias SQL y desde consola. via: ocio.barrapunto.com/article.pl?sid=09/08/17/0712203

Fallo de seguridad en Tuenti que permite obtener datos confidenciales de usuarios

Artículo para aprender lo básico de sql desde el mismo firefox. Se utiliza la base de datos sqlite junto con una extensión del navegador. Se incluye una base de datos de ejemplo

Parece ser que el movimiento para eliminar SQL y las BD relacionales ha empezado, NoSQL es un movimiento que cada vez esta ganando mas gente, y al parecer con muy buenas bases, los sistemas NoSql son distribuidos, almacenan datos no relacionales que suelen utilizar un simple valor-clave para la indexación y recuperación de datos y lo mejor de todo: utilizan una simple llamada a una API en lugar de tener que aprender un lenguaje declarativo como SQL.

"no a SQL?", un movimiento en contra de las base de datos que esta ganando más gente. Los sistemas Nosql son distribuidos, almacenan datos no relacionales que suelen utilizar un simple valor-clave para la indexación y recuperación de datos y utiliza un sencillo procedimiento de consulta de API en lugar de un sofisticado lenguaje de consulta declarativo. Los grandes jugadores de la Web lo han defendido por la creativa y altamente escalable gestión de datos estructurados (Google-BigTable, Yahoo-Hadoop, Amazon-Dynamo y Facebook-Cassandra)

Los problemas de lentitud en el inicio de Firefox son bien conocidos por todos los que usamos este excelente navegador y lamentablemente es algo que se sigue arrastrando de versión a versión sin terminar de resolver. Con este truco podrás reducir el tamaño de los archivos *.sqlite, disminuyendo el tiempo de carga considerablemente

Esto es el mejor ejemplo de lo que NO se debe hacer. SQL Injection, XSS, File Upload, Authentication Bypass, Indexes que muestran ficheros con contraseñas, oiga!! lo tiene todo! se me lo llevan de las manos. Para algo de información podéis acudir a blog.zerial.org/seguridad/vulnerabilidades-criticas-en-sitio-web-de-ca pero vamos, lo mejor es jugar con la web. Todo lo que no se debe hacer pero junto.

En general, lo éticamente correcto cuando se encuentra una vulnerabilidad en un sistema, una vez analizado el impacto de la misma, es notificarla al fabricante o en caso de una página web, al contacto designado por la entidad propietaria. Un correo de contacto que debería ser válido es el proporcionado por la organización cuando efectúa el registro del dominio.

En los últimas semanas páginas como Kaspersky han sido vulnerables a ataques de inyección SQL, pues ahora la página de la lotería inglesa también ha sido vulnerable a un ataque de inyección SQL. Como es de suponer, la página national-lottery.co.uk es una de las páginas que más visitas tiene en Inglaterra, y según comentan en la noticia un fallo de seguridad en uno de los parámetros que se pasan en la petición permite el acceso a la base de datos como se puede ver en la imagen que muestran como ejemplo del ataque en hackersblog.org.

Hace unos dias me preguntaron "en que trabajas?". Como siempre, respondí "soy DBA, administro servidores que manejan datos." Será que la gente no tiene la menor idea, no le interesa o vaya a saber que, pero con eso era suficiente y ya no preguntaban mas..... supongo que en su cabeza les quedaba eso de "es informático y trabaja con algo raro". Punto.

Hoy miércoles 22 de Octubre Secong Nug presenta una sesión tecnológica que puede ser de mucho interés, de manos de un experto en el tema: Miguel Egea MVP de Sql Server. En esta charla se tratará de dar una visión general desde el punto de vista técnico de los componentes de una solución de Business Intelligence con herramientas Microsoft. Para más info: www.secondnug.com

Una cosa es que alguien se haga una web personal o para su negocio familiar y no le salga a cuento preocuparse en exceso de blindar su código. Pero que sea tan fácil atacar una web oficial por la que seguro que los contribuyentes hemos pagado un ojo de la cara es algo lamentable.

Descojonante! De lo más cómico que he leido en los últimos días!

Las principales novedades de SQL Sever 2008 se agrupan en tres grandes áreas. La primera de ellas es la protección de la información (donde se encuentran las técnicas para asegurar la continuidad de negocio o la capacidad para responder, de forma predictiva, a posibles incidencias que surjan dentro del normal funcionamiento del sistema). Otra de las áreas es la mejora en la productividad, y, por último, en la inteligencia de negocio.

Este SQL contiene una base de datos con "casi" todas las localidades del mundo agrupadas en regiones y países. Cada registro está en ocho idiomas (Ruso, Inglés, Alemán, Francés, Castellano, Italiano, Portugués y Chino). Contiene un total de 214 países, 1997 regiones y 129602 localidades. Contiene también la posición devuelta por la API de Google Maps para latitud y longitud y si esa posición es exacta o no. Espero que os sirva de ayuda en vuestros proyectos. Más info en el primer comentario.

Un show de diapositivas ilustradas explicando brevemente ocho formas en que se hackean sitios web. Especial para los menos conocedores. El artículo originario: www.forbes.com/technology/2008/05/14/web-hacking-google-tech-security0 . En inglés.

Otra vez más infecciones masivas via SQL Inyection. En mi caso lo descubrí en la página de Bolsa que visito. Via M$ y esos admins que no han parcheado un fallo de seguridad de nivel alto. Más info: enikei.com/2008/05/12/inyeccion-sql/ Sé que es autobombo y lo siento pero no hay muchas referencias en internet salvo página de F-Secure y los miles de afectados.