[OT] Inyeccion de SQL en Access

Yo solía limitar el qué me podían introducir en el front-end.

Imagina esta SQL accediendo a Access a través de ADO, por ejemplo, en una
página ASP:

strSQL = "SELECT ID FROM USUARIOS WHERE NOMBRE='" & strUsuario & "' AND
CLAVE='" & strClave & "'"

Si el usuario introduce como usuario y como contraseña lo siguiente:
' OR 'a'='a

Consigue debilitar la cláusula WHERE de la sentencia SQL, por lo que será lo
mismo que un SELECT ID FROM USUARIOS.

Este es un ejemplo de SQL Injection con Páginas ASP accediendo a MS
Access... por ello, cuanto más limites la entrada en tu aplicación, mejor.
En este ejemplo, se podría limitar a caracteres numéricos y alfanuméricos,
excluyendo símbolos y sobre todo ' y ".

Saludos,

Guillermo Roldán
MCDBA, MCSE, MCSA
Madrid - Spain


"Alberto D." escribió en el mensaje
news:#

Hola desculpen por el OT,

Tengo que hacer una aplicacion con Access 2000, alguien sabe
como puedo validar inyeccion de SQL, o si es posible hacer esa
inyeccion en Access??

En Sql 2000 me protego haciendolo con stores procedures, o en el caso
de que ejecute querys, busco el simbolo de comentario "--", pero en
access no se cual sea el simbolo de comentario, y no se si se puedan hacer
stores procedure..

Muchas gracias !!