Hace algún tiempo me encontré con una situación interesante mientras auditaba una aplicación web conectada a un servidor de base de datos Microsoft SQL Server que provocaba que ninguna de las herramientas que utilizo habitualmente para la explotación de Blind SQL Injection funcionara correctamente.
La aplicación web presentaba una vulnerabilidad de Inyección SQL en uno de sus parámetros. Evidentemente no puedo mostrar la aplicación real que contenía el fallo, pero pongamos que la aplicación tenía un código como el siguiente: Read more »

En la restauración de un backup de una base de datos SQL Server en otro servidor, es bastante frecuente que los usuarios se hayan migrado pero queden “huérfanos”. ¿Qué es ese concepto? ¿Y qué hago ahora?
Vamos primero con la teoría, a entender la razón por la que pasa esto: Read more »

¿Te gustaría saber que consultas a la base de datos realiza tu script y en que orden se están ejecutando? Pues simplemente activa la función de registro (log) del servidor. Esto es muy útil también cuando investigas el funcionamiento de algún programa hecho por otras personas. Read more »

El post trata de como integrar C# con PostgreSQL, como sabemos PostgreSql es un servidor de base de datos Objeto – Relacional. Su procedencia es de software libre. Para integrar PostgreSQL con C# existe un proveedor de datos para .NET llamado Npgsql, ya que como sabrán, no está dentro de los proveedores de datos predefinidos en .NET. Este proveedor funciona para versiones 7.x de PostgreSql y posteriores. Read more »

Siguiendo con esta pequeña serie de consultas en SQL, vamos a ver hoy una consulta, a priori simple, que consiste en listar todos los eventos que tengamos almacenados en nuestra tabla dentro de la base de datos, pero sólo aquellos que tengan lugar en un día de la semana determinado: Lunes, Martes, Miercoles, Jueves, Viernes, Sábado o Domingo. Read more »

Una tabla de staging consiste en una tabla intermedia en una materialized query table(MQT), donde se almacenan los cambios que se han realizado en la tabla origen. Con esta tabla intermedia se consigue poder hacer refrescos de MQT incrementales, de forma que sólo se refrescan los datos nuevos o que hayan sido modificados. Read more »

Estaba instalando Lotus Connections 2.5 sobre RHEL 5 cuando al correr el wizard de creacion de base de datos note el siguiente error:
“DB21007E End of file reached while reading the command”.
Procedi a intentar cargar el archivo a mano usando: Read more »

En ocasiones será necesario volver en el tiempo una tabla en oracle, esto puede ser ocasionado por un mal procedimiento almacenado, por que un usuario mal intencionado que borra información u otras cosas.
El este post tratare de explicarte como volver una tabla en un tiempo definido, pero antes de esto veremos algunos parámetros necesarios para que esto pueda funcionar. Read more »

Habia escuchado que sqldeveloper te deja trabajar con MySQL pero nunca lo habia intentado. Decidi probarlo el dia de hoy y no fue tan facil como pense. Read more »

Lo primero, decir que está es una traducción y adaptación libre del artículo cuyo autor es Craig Buckler. Aclarado ello, conozcamos los 10 errores más comunes que cometen muchos programadores PHP cuando trabajan con MySQL. Read more »

Los procedimientos almacenados son un conjunto de instrucciones SQL que se almacenan en el servidor permitiendo hacer referencia al procedimiento almacenado para ejecutar esas funciones en lugar de tener que llamarlas individualmente.
Para poder ejecutar procedimientos almacenados es necesario tener la tabla proc en la base de datos mysql y contar con los permisos necesarios para trabajar con ellos. Estos son los permisos relacionados con los procedimientos: Read more »

Backup and Restore is probably the most important thing to know how to do when you have a database with data you care about.
The utilities in PostgreSQL that accomplish these tasks are pg_restore, pg_dump, pg_dumpall, and for restore of plain text dumps – psql. Read more »

In computing, Xen® hypervisor is a virtual-machine monitor for IA-32, x86-64, Itanium and PowerPC 970 architectures. It allows several guest operating systems to execute on the same computer hardware concurrently. The University of Cambridge Computer Laboratory developed the first versions of Xen; as of 2010 the Xen community develops and maintains Xen as free software, licensed under the GNU General Public License (GPLv2). Read more »

SQL Profiler puede ayudarte de manera significativa cuando estás haciendo troubleshooting de performance en una base de datos SQL Server. Puedes combinar el Profiler con el funcionamiento de los Performance Logs (perfmon) . Tú puedes poner trazas de profiler (archivos TRC) en combinación con los contadores de performance (archivos BLG) para encontrar los puntos débiles en el performance de la instancia o base de datos.
En el ejemplo siguiente, demostraremos cómo encontrar un deadlock combinando ambas herramientas: Read more »

Muchas veces nos encontramos en la tarea de realizar una campaña agresiva de mailing, y de hecho hay diversas opciones, sin embargo con SQL server podemos quizá darle algún valor añadido, dada la simplicidad e inteligencia al momento de envió de emails, los mismo que lógicamente pueden estar en tablas de nuestra misma BD y de esta manera podemos programar envíos, saludos, novedades. Read more »

Es muy extraño ver una aplicación node.js que no haga uso de una solución NoSQL, pero puede presentarse el caso de tener que acceder a una base de datos legacy y casi con seguridad esa DB sea MySQL, el estado de los modulos MySQL en node.js, es muy dispar, pero hay un proyecto liderado por Felix Geisendörfer al que vengo siguiendo desde hace un tiempo, es al que mas fe le tenia, mas que nada, porque cuenta con el patrocinio de Joyent que ha tomado a node.js como algo estratégico para su plan de negocios.
El modulo que estoy usando es node-mysql, el cual es una implementación del protocolo MySQL escrito 100% con node.js, la forma mas fácil de instalarlo es usando npm. Read more »

En Denali se ha mejorado la funcionalidad de la cláusula ORDER BY agregando más argumentos en busca de dar solución a escenarios específicos como es el caso del paginado, es decir, simular la lectura por partes de los resultados de una consulta, tema que se podía realizar en versiones previas combinando TOP, OVER y ORDER BY, sin embargo, el rendimiento de esta solución es pobre comparado a lo que se puede conseguir con OFFSET y FETCH. Read more »

El otro día me puse tan contento cuando alguien en twitter puso que en un proceso de pentesting había podeido utilizar las técnicas de Connection String Parameter Pollution. Mola cuando a más gente le resulta útil el trabajo. Read more »

Muchas veces tenemos problemas de desempeño cuando estamos trabajando con SQL Server. En varios casos el cuello de botella está en la apropiada configuración de la base de datos TempDB (la base de datos para operaciones internas o temporales que usa SQL Server). Líneas abajo está la referencia a un link que me parece bastante importante compartir y lo deben internalizar para cada implementación de SQL Server que hagan, principalmente cuando tengan procesos de ETL que trabajen con grandes volúmenes de datos. Read more »

En alguna ocasión tendremos que obtener información de un store procedure, en este caso de SQL Server, que devuelva resultados en una o más variables de salida en vez o además del Resultset.
Comencemos el ejemplo: Read more »