SQL server e inyeccion de codigo

Tito,

Yo pregunto si postear una sentencia sql a traves de un comando sql en C#
es susceptible de inyeccion de codigo ?

No si utilizas SQL parametrizado en lugar de SQL dinámico.
Utiliza siempre que puedas sentencias de tipo:

"SELECT ID FROM Clientes WHERE Nombre = @Nombre AND Contra = @Contra"

asignando valores a los parámetros, en vez de

"SELECT ID FROM Clientes WHERE Nombre = '" + nombre + "' AND Contra = '"
+ contra + "'"

donde la sentencia se construye en tiempo de ejecución.

En cualquier caso, valida (del lado del servidor) la información que el
usuario introduce en los controles de texto.

Slsd - Octavio

Esto como siempre depende de lo que necesites. Si son consultas fijas, se
recomienda usar procedimientos almacenados, puesto que aumentas las
escalabilidad de la aplicación (si haces una consulta a una tabla y esa tabla
se parte en dos, pues sólamente modificando el sp modificarías la consulta, y
no tendrías que tocar el código).
En caso de que la consulta dependa de una entrada del usuario, lo
recomendable es utilizar los parámetros como dice Octavio.

Saludos

Fran Peula Ariza

"Octavio Hernandez" escribió:

Tito,

>> Yo pregunto si postear una sentencia sql a traves de un comando sql en C#
>> es susceptible de inyeccion de codigo ?

No si utilizas SQL parametrizado en lugar de SQL dinámico.
Utiliza siempre que puedas sentencias de tipo:

"SELECT ID FROM Clientes WHERE Nombre = @Nombre AND Contra = @Contra"

asignando valores a los parámetros, en vez de

"SELECT ID FROM Clientes WHERE Nombre = '" + nombre + "' AND Contra = '"
+ contra + "'"

donde la sentencia se construye en tiempo de ejecución.

En cualquier caso, valida (del lado del servidor) la información que el
usuario introduce en los controles de texto.

Slsd - Octavio

La inyeccion de código nada tiene que ver con procedimientos almacenados ya
que puedes tener uno y que su llamada sea igualmente susceptible de
inyeccion de codigo. Por ejemplo si ejecutas algo asi:

sql = "EXEC MiSP " + MiValor

Sigues con el mismo problema de inyeccion de codigo. Como ya dijeron, la
solucion esta en usar parametros.

Eduardo A. Morcillo [MS MVP VB]
http://www.mvps.org/emorcillo
http://mvp.support.microsoft.com/pr...4EF5A4191C

"Eduardo A. Morcillo [MS MVP VB]" <emorcillo .AT. mvps.org> wrote in message
news:eHgu%

La inyeccion de código nada tiene que ver con procedimientos almacenados
ya que puedes tener uno y que su llamada sea igualmente susceptible de
inyeccion de codigo. Por ejemplo si ejecutas algo asi:

Yo me imagino que el companero se refiere a seguridad. Es decir que el
administrador le puede quitar el permiso a los usuarios de hacer consultas o
actualizaciones directas pero le puede dar permiso a ejecutar procedimientos
almacenados como si fuesen unidades independientes.
Si un usuario solo tiene permiso de ejecutar SP's no importa que le inyecten
codigo si el servidor lo va a rechazar, no ?

sql = "EXEC MiSP " + MiValor

Sigues con el mismo problema de inyeccion de codigo. Como ya dijeron, la
solucion esta en usar parametros.

Eduardo A. Morcillo [MS MVP VB]
http://www.mvps.org/emorcillo
http://mvp.support.microsoft.com/pr...4EF5A4191C

A eso me refería yo ;). He releído mi post y me he explicado mal, pero vamos,
la idea es utilizar siempre que se pueda procedimientos almacenados y no
escribir la sentencia SQL en código. Lógicamente, se haga como se haga, los
valores variables, para evitar la inyección sql, deberán pasarse por
parámetros ;).

Saludos

Fran Peula Ariza

"Eduardo A. Morcillo [MS MVP VB]" escribió:

La inyeccion de código nada tiene que ver con procedimientos almacenados ya
que puedes tener uno y que su llamada sea igualmente susceptible de
inyeccion de codigo. Por ejemplo si ejecutas algo asi:

sql = "EXEC MiSP " + MiValor

Sigues con el mismo problema de inyeccion de codigo. Como ya dijeron, la
solucion esta en usar parametros.

Eduardo A. Morcillo [MS MVP VB]
http://www.mvps.org/emorcillo
http://mvp.support.microsoft.com/pr...4EF5A4191C