Parametros e inyeccion de codigo

Esa ya de por sí está protegida (a menos que permita que sea el usuario
introduzca la sentencia).

Slds - Octavio


"Josias" <josias> wrote in message
news:

He leido que se deben usar los parametros para las consultas que se mandan
a sql server para protegerlas de la inyeccion de codigo.

Pero si se trata de una simple consulta que no debe incluir parametros,
como "select tipo, descripcion from tabla", como uno hace para protegerla
de la inyección ?

Si esa consulta (el texto) lo puede manipular el usuario... mejor lo creas
en un procedimiento almacenado, si el usuario no tiene acceso a ese texto,
pues... (creo) que no se podrá inyectar nada...

Es decir, si el usuario tiene posibilidad de escribir algo... puede
"inyectarte" algo chungo ;-)))

Nos vemos
Guillermo

Microsoft MVP Visual Basic desde 1997
Tus consultas en los foros del Guille: http://foros.elguille.info/


"Josias" <josias> wrote in message
news:

He leido que se deben usar los parametros para las consultas que se mandan
a sql server para protegerlas de la inyeccion de codigo.

Pero si se trata de una simple consulta que no debe incluir parametros,
como "select tipo, descripcion from tabla", como uno hace para protegerla
de la inyección ?

Muchas gracias!!!


"Josias" <josias> escribió en el mensaje
news:

He leido que se deben usar los parametros para las consultas que se mandan
a sql server para protegerlas de la inyeccion de codigo.

Pero si se trata de una simple consulta que no debe incluir parametros,
como "select tipo, descripcion from tabla", como uno hace para protegerla
de la inyección ?

Es decir, si el usuario tiene posibilidad de escribir algo... puede
"inyectarte" algo chungo ;-)))

Sip.
Como bien dice el agüelo, cualquier entrada del usuario puede ser
susceptible de recibir algo maligno por parte de un usuario malintencionado.

Lluís Franco i Montanyés
[MS-MVP-MCP Visual Basic]
Web: http://sps.uyssoft.com
Blog: http://msmvps.com/blogs/lfranco
Geeks: http://geeks.ms/blogs/lfranco
(Guía de netiquette de los foros)
http://sps.uyssoft.com/Foros%20onli...uette.aspx
FIMARGE, S.A.
Principat d'Andorra

Tel.: +376 805 100
Fax: +376 824 500
Mi Perfil MVP en:
https://mvp.support.microsoft.com/profile/Lluis
This posting is provided "AS IS" with no warranties, and confers no rights.
Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho.

Siempre que el usuario tenga el permiso de hacer modificaciones.



"Lluis Franco" escribió en el mensaje
news:

Es decir, si el usuario tiene posibilidad de escribir algo... puede
"inyectarte" algo chungo ;-)))

Sip.
Como bien dice el agüelo, cualquier entrada del usuario puede ser
susceptible de recibir algo maligno por parte de un usuario
malintencionado.

Lluís Franco i Montanyés
[MS-MVP-MCP Visual Basic]
Web: http://sps.uyssoft.com
Blog: http://msmvps.com/blogs/lfranco
Geeks: http://geeks.ms/blogs/lfranco
(Guía de netiquette de los foros)
http://sps.uyssoft.com/Foros%20onli...uette.aspx
FIMARGE, S.A.
Principat d'Andorra

Tel.: +376 805 100
Fax: +376 824 500
Mi Perfil MVP en:
https://mvp.support.microsoft.com/profile/Lluis
This posting is provided "AS IS" with no warranties, and confers no
rights.
Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho.