Alguien me puedo ayudar

10/01/2005 - 18:44 por juan | Informe spam
Hola gente:

Me podriais decir que es lo que esta mal de esta SQL

CP es numerico, las demas son alfanumericas

sql = "UPDATE CP SET POBLACION='" & UCase(txtPoblacion.Text) &
"',PROVINCIA='" & cbProvincia.Text & "',&PAIS='" & cbPais.Text &
"',POBLACION='" & txtPoblacion.Text & "' where CODIGO=" & txtCP.Text
 

Leer las respuestas

#1 Javier Loria
10/01/2005 - 18:54 | Informe spam
Hola:
La respuesta facil: Eliminar el & antes de pais.
La respuesta dificil, deja de hacerlo asi :(
Que ocurriria si el usuario escribe en el textbox txtPoblacion la
siguiente sentencia:
';DROP TABLE CP;--
El concatenar comandos como lo estas haciendo lo hace muy suceptible a
inyeccion de codigo. Te recomiendo que utilices procedimientos almacenados
con parametros y no concatenar si quieres reducir sustancialmente el riesgo.
Saludos,

Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda

"juan" <s> wrote in message news:
Hola gente:

Me podriais decir que es lo que esta mal de esta SQL

CP es numerico, las demas son alfanumericas

sql = "UPDATE CP SET POBLACION='" & UCase(txtPoblacion.Text) &
"',PROVINCIA='" & cbProvincia.Text & "',&PAIS='" & cbPais.Text &
"',POBLACION='" & txtPoblacion.Text & "' where CODIGO=" & txtCP.Text


Preguntas similares