Como evitan la ejcucion de t-sql en ASP

Amigo Penta:

Yo evaluaria el valor que trae la cadena [Request.QueryString] y antes de
procesarla eliminaria todo lo que se parezca a esto:
insert
update
delete
drop
execute
'
;
etc

y mostraría un mensaje de error controlado y enviaría al usuario a una
pagina de advertencia y lo pondría en la lista negra.

otra opción es manejar variables de session (ya se que me van a reventar en
el foro por recomendar este tipo de variables pero algunas veces son muy
utiles)

Y por ultimo si no deseas que te digiten nada en la barra de direcciones
podrias implementar una pagina de marcos y ahí te ahorras bastantes
problemas.


Saludos
________________

Geovanny Quirós C.
Heredia, Costa Rica


"Penta" escribió en el mensaje de
noticias:
Mostrar la cita

Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.

Si la consulta es parametrizada , no tienes ningun problema


"Penta" wrote in message
news:
Mostrar la cita

Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.

Para prevenir inyección de código SQL usted debe analizar y limpiar
cuidadosamente cada campo de texto donde acepta entrada de datos como
parámetros.

Hay cientos de artículos escritos que usted puede consultar. Le dejo uno
para empezar:

http://www.sitepoint.com/article/sq...cks-safe/5

Gustavo Larriera, Microsoft MVP
http://www.linkedin.com/in/gustavolarriera
Este mensaje se proporciona tal como es, sin garantías de ninguna clase.



"Penta" wrote:

Mostrar la cita

Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.

Penta,

Aca te paso un link interesante, que menciona algunas herramientas
desarrolladas por Microsoft para chequear tu aplicacion.

Stopping SQL Injection in its Tracks
http://blogs.gotdotnet.com/buckwood...racks.aspx

SQL Injection Attacks
http://blogs.msdn.com/buckwoody/arc...tacks.aspx


AMB


"Penta" wrote:

Mostrar la cita

Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.