Evitar la inyección SQL en InterSystems IRIS: el caso a favor de prácticas

Artículo

Ricardo Paiva · 1 ago, 2025 Lectura de 3 min

La inyección SQL sigue siendo una de las vulnerabilidades más críticas en las aplicaciones basadas en bases de datos, ya que permite a los atacantes manipular consultas y, potencialmente, acceder o comprometer datos sensibles. En InterSystems IRIS, los desarrolladores tienen acceso tanto a SQL Dinámico como a SQL Embebido, cada uno con características distintas. Comprender cómo usarlos de forma segura es esencial para prevenir la inyección SQL.

El problema: SQL Dinámico y la inyección SQL

El SQL Dinámico construye consultas como cadenas durante la ejecución. Aunque esto ofrece flexibilidad, también crea una vulnerabilidad si no se maneja correctamente la entrada del usuario. Por ejemplo:

Set query = "SELECT Name, Age FROM Patients WHERE Age > "_age
Set statement = ##class(%SQL.Statement).%New()
Set status = statement.%Prepare(query)

Si la edad es proporcionada por el usuario, concatenarla directamente en la cadena de consulta expone la aplicación a una inyección. Un atacante podría proporcionar un valor malicioso como 0; DROP TABLE Patients, con resultados desastrosos.

La solución: consultas parametrizadas

Las consultas parametrizadas son la mejor defensa contra la inyección SQL. En lugar de concatenar entradas en la consulta, los valores del usuario se vinculan como parámetros. Aquí hay un enfoque seguro utilizando SQL Dinámico:

Set query = "SELECT Name, Age FROM Patients WHERE Age > ?"
Set statement = ##class(%SQL.Statement).%New()
Set status = statement.%Prepare(query)
If status {
    Set result = statement.%Execute(age)
    While result.%Next() {
        Write "Name: ", result.Name, ", Age: ", result.Age, !
    }
}

Aquí, el marcador de posición ? asegura que el valor de edad sea tratado estrictamente como dato y no como código ejecutable, lo que reduce significativamente el riesgo de inyección.

SQL Embebido: seguridad incorporada

El SQL Embebido integra SQL directamente en ObjectScript, protegiendo de forma inherente contra la inyección SQL. La sintaxis de variables anfitrión (:variable) vincula de forma segura los parámetros en tiempo de compilación:

&sql(SELECT Name, Age INTO :name, :age FROM Patients WHERE Age > :minAge)

Con SQL Embebido, no existe un mecanismo para concatenar directamente entradas sin procesar del usuario en la consulta, lo que previene la inyección.

Comparación entre SQL Embebido y SQL Dinámico

Característica	SQL Embebido	SQL Dinámico
Seguridad	Seguro contra inyecciones gracias a las variables anfitrión	Seguro si se incluyen parámetros; existe riesgo si no se hace
Flexibilidad	Limitada (solo consultas estáticas)	Altamente flexible para escenarios dinámicos
Capacidad de búsqueda	Fácil de ubicar en definiciones de clase	Más difícil de analizar; las consultas están en cadenas
Rendimiento	Compilado en 'tiempo de compilación de clase'	Analizado y optimizado en tiempo de ejecución

Cuándo usar SQL Dinámico

El SQL Dinámico es útil cuando las estructuras de consulta deben determinarse en tiempo de ejecución, por ejemplo, al agregar filtros opcionales:

Set query = "SELECT Name, Age FROM Patients"
If includeGender {
    Set query = query_" WHERE Gender = ?"
}
Set statement = ##class(%SQL.Statement).%New()
Set status = statement.%Prepare(query)
If status {
    Set result = statement.%Execute("Male")
}

Recuerda siempre usar parametrización (?) para estas consultas construidas dinámicamente a fin de mantener la seguridad.

Conclusión

El SQL Dinámico permite una construcción flexible de consultas, pero requiere un uso responsable para evitar riesgos de inyección SQL. Las consultas parametrizadas abordan eficazmente este riesgo. Mientras tanto, el SQL Embebido incluye protecciones incorporadas, lo que lo convierte en una excelente opción para consultas estáticas. Al usar estos enfoques de manera adecuada, los desarrolladores pueden crear aplicaciones sólidas y seguras con InterSystems IRIS.

Ir a la publicación original, escrita por @Ash Sherzhanov