La inyección SQL sigue siendo una de las vulnerabilidades más críticas en las aplicaciones basadas en bases de datos, ya que permite a los atacantes manipular consultas y, potencialmente, acceder o comprometer datos sensibles. En InterSystems IRIS, los desarrolladores tienen acceso tanto a SQL Dinámico como a SQL Embebido, cada uno con características distintas. Comprender cómo usarlos de forma segura es esencial para prevenir la inyección SQL.
El problema: SQL Dinámico y la inyección SQL
El SQL Dinámico construye consultas como cadenas durante la ejecución. Aunque esto ofrece flexibilidad, también crea una vulnerabilidad si no se maneja correctamente la entrada del usuario. Por ejemplo:
Set query = "SELECT Name, Age FROM Patients WHERE Age > "_age Set statement = ##class(%SQL.Statement).%New() Set status = statement.%Prepare(query)
Si la edad es proporcionada por el usuario, concatenarla directamente en la cadena de consulta expone la aplicación a una inyección. Un atacante podría proporcionar un valor malicioso como 0; DROP TABLE Patients, con resultados desastrosos.
La solución: consultas parametrizadas
Las consultas parametrizadas son la mejor defensa contra la inyección SQL. En lugar de concatenar entradas en la consulta, los valores del usuario se vinculan como parámetros. Aquí hay un enfoque seguro utilizando SQL Dinámico:
Set query = "SELECT Name, Age FROM Patients WHERE Age > ?"
Set statement = ##class(%SQL.Statement).%New()
Set status = statement.%Prepare(query)
If status {
Set result = statement.%Execute(age)
While result.%Next() {
Write "Name: ", result.Name, ", Age: ", result.Age, !
}
}
Aquí, el marcador de posición ? asegura que el valor de edad sea tratado estrictamente como dato y no como código ejecutable, lo que reduce significativamente el riesgo de inyección.
SQL Embebido: seguridad incorporada
El SQL Embebido integra SQL directamente en ObjectScript, protegiendo de forma inherente contra la inyección SQL. La sintaxis de variables anfitrión (:variable) vincula de forma segura los parámetros en tiempo de compilación:
&sql(SELECT Name, Age INTO :name, :age FROM Patients WHERE Age > :minAge)
Con SQL Embebido, no existe un mecanismo para concatenar directamente entradas sin procesar del usuario en la consulta, lo que previene la inyección.
Comparación entre SQL Embebido y SQL Dinámico
| Característica | SQL Embebido | SQL Dinámico |
|---|---|---|
| Seguridad | Seguro contra inyecciones gracias a las variables anfitrión | Seguro si se incluyen parámetros; existe riesgo si no se hace |
| Flexibilidad | Limitada (solo consultas estáticas) | Altamente flexible para escenarios dinámicos |
| Capacidad de búsqueda | Fácil de ubicar en definiciones de clase | Más difícil de analizar; las consultas están en cadenas |
| Rendimiento | Compilado en 'tiempo de compilación de clase' | Analizado y optimizado en tiempo de ejecución |
Cuándo usar SQL Dinámico
El SQL Dinámico es útil cuando las estructuras de consulta deben determinarse en tiempo de ejecución, por ejemplo, al agregar filtros opcionales:
Set query = "SELECT Name, Age FROM Patients"
If includeGender {
Set query = query_" WHERE Gender = ?"
}
Set statement = ##class(%SQL.Statement).%New()
Set status = statement.%Prepare(query)
If status {
Set result = statement.%Execute("Male")
}
Recuerda siempre usar parametrización (?) para estas consultas construidas dinámicamente a fin de mantener la seguridad.
Conclusión
El SQL Dinámico permite una construcción flexible de consultas, pero requiere un uso responsable para evitar riesgos de inyección SQL. Las consultas parametrizadas abordan eficazmente este riesgo. Mientras tanto, el SQL Embebido incluye protecciones incorporadas, lo que lo convierte en una excelente opción para consultas estáticas. Al usar estos enfoques de manera adecuada, los desarrolladores pueden crear aplicaciones sólidas y seguras con InterSystems IRIS.