Consulta parametrizada
¿Qué es Consulta parametrizada?
Consulta parametrizadaConsulta a base de datos cuyos valores se envían aparte del texto SQL mediante marcadores, de modo que la entrada del usuario nunca altera su estructura.
Una consulta parametrizada (sentencia preparada) permite compilar previamente una plantilla SQL con marcadores como «?» o «:id» y luego enlazar valores a esos marcadores. El motor trata los parámetros estrictamente como datos —nunca como parte de la sintaxis SQL—, por lo que entradas con comillas, puntos y coma o comentarios no pueden cambiar la lógica de la consulta. Es la mitigación canónica de la inyección SQL (CWE-89) y la admiten casi todos los drivers y ORM. Debe ser la opción predeterminada para cualquier SQL que incluya entrada no confiable, complementada con cuentas de base de datos de mínimo privilegio, validación en lista blanca y APIs seguras del ORM para identificadores dinámicos.
● Ejemplos
- 01
Usar «SELECT * FROM users WHERE id = ?» con un parámetro entero enlazado en lugar de concatenar el ID.
- 02
Emplear parámetros nombrados en PDO o psycopg con un diccionario de valores en vez de formateo de cadenas.
● Preguntas frecuentes
¿Qué es Consulta parametrizada?
Consulta a base de datos cuyos valores se envían aparte del texto SQL mediante marcadores, de modo que la entrada del usuario nunca altera su estructura. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Consulta parametrizada?
Consulta a base de datos cuyos valores se envían aparte del texto SQL mediante marcadores, de modo que la entrada del usuario nunca altera su estructura.
¿Cómo defenderse de Consulta parametrizada?
Las defensas contra Consulta parametrizada combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Consulta parametrizada?
Nombres alternativos comunes: Sentencia preparada, Consulta con parámetros enlazados.