SQL injection is a technique for exploiting web applications that use client-supplied data in SQL queries without stripping potentially harmful characters first. Despite being remarkably simple to protect against, there is an astonishing number of production systems connected to the Internet that are vulnerable to this type of attack. The objective of this paper is to educate the professional security community on the techniques that can be used to take advantage of a web application that is vulnerable to SQL injection, and to make clear the correct mechanisms that should be put in place to protect against SQL injection and input validation problems in general.</div> <div class="id-app-translated-desc" style="display:none">Inyección SQL es una técnica para la explotación de las aplicaciones web que utilizan los datos proporcionados por el cliente en las consultas SQL sin eliminar caracteres potencialmente dañinos primero. A pesar de ser muy simple para proteger contra, hay un número asombroso de los sistemas de producción conectados a Internet que son vulnerables a este tipo de ataque. El objetivo de este trabajo es educar a la comunidad profesional de la seguridad en las técnicas que se pueden utilizar para tomar ventaja de una aplicación web que es vulnerable a la inyección de SQL, y para dejar en claro los mecanismos correctos que deben ser puestas en su lugar para proteger contra SQL problemas de validación de entrada de inyección y en general.</div> <div class="show-more-end">