Delimitadores de valores

Hola,

Mirando la ayuda veo que existe SET QUOTED_IDENTIFIER ON/OFF para
cambiar comillas simples por dobles en los delimitadores de valores de
una sentencia sql.

Me interesaría saber si hay alguna forma de poder cambiar esos
delimitadores por otro definido por mi.

Por ejemplo

UPDATE mitabla SET micampo= #mi valor entre 'almohadillas'#

o otro delimitador

UPDATE mitabla SET micampo = [mi valor entre 'corchetes']

En definitiva... quisiera evitar la posible 'inyección de código sql'
al haber la posiblidad de que en los valores hayan caracteres
delimitadores que haga que sqlserver interprete erróneamente la
sentencia.

Estoy mirando que hay un sp_configure que podría darme alguna pista al
respecto... pero no se encontrar suficiente literatura al respecto.

Me interesa que la solución que se aplique sea válida para SQL Server
2000 en adelante.

Saludos y gracias por vuestra ayuda.
José Luis Capel

Esa no es la forma de evitar SQL dinamico. Para eso debes evitar generar
sentencias mediante la concatenacion de valores entrados por el usuario,
sin
importar en que lado lo haces, en el lado del servidor o en el lado del
cliente. Trata de usar procedimientos almacenados que usen parametros y no
concatenes los valores pasados sino usales tal y como.

Alejandro,


Gracias por tu respuesta. Me aclara conceptos.
>
> Esa no es la forma de evitar SQL dinamico. Para eso debes evitar generar
> sentencias mediante la concatenacion de valores entrados por el usuario,
> sin
> importar en que lado lo haces, en el lado del servidor o en el lado del
> cliente. Trata de usar procedimientos almacenados que usen parametros y no
> concatenes los valores pasados sino usales tal y como.
>

¿Te refieres a procedimientos almacenados creados por mi mismo o a alguno
que ya pueda existir de forma 'estandar'?

Saludos y nuevamente gracias por tu ayuda.
José Luis Capel

José Luis Capel - Aicom,

Procedimientos almacenados creado por el desarrollador, de acuerdo a lo que
se necesite hacer, insert / update / delete / consulta.

The Curse and Blessings of Dynamic SQLhttp://www.sommarskog.se/dynamic_sql.html

AMB

"José Luis Capel - Aicom" wrote:



> Alejandro,

> Gracias por tu respuesta.  Me aclara conceptos.

> > Esa no es la forma de evitar SQL dinamico. Para eso debes evitar generar
> > sentencias mediante la concatenacion de valores entrados por el usuario,
> > sin
> > importar en que lado lo haces, en el lado del servidor o en el lado del
> > cliente. Trata de usar procedimientos almacenados que usen parametros y no
> > concatenes los valores pasados sino usales tal y como.

> ¿Te refieres a procedimientos almacenados creados por mi mismo o a alguno
> que ya pueda existir de forma 'estandar'?

> Saludos y nuevamente gracias por tu ayuda.
> José Luis Capel- Ocultar texto de la cita -

- Mostrar texto de la cita -

Hola,

Mirando la ayuda veo que existe SET QUOTED_IDENTIFIER ON/OFF para
cambiar comillas simples por dobles en los delimitadores de valores de
una sentencia sql.

Me interesaría saber si hay alguna forma de poder cambiar esos
delimitadores por otro definido por mi.

Por ejemplo

UPDATE mitabla SET micampo= #mi valor entre 'almohadillas'#

o otro delimitador

UPDATE mitabla SET micampo = [mi valor entre 'corchetes']

En definitiva... quisiera evitar la posible 'inyección de código sql'
al haber la posiblidad de que en los valores hayan caracteres
delimitadores que haga que sqlserver interprete erróneamente la
sentencia.

Estoy mirando que hay un sp_configure que podría darme alguna pista al
respecto... pero no se encontrar suficiente literatura al respecto.

Me interesa que la solución que se aplique sea válida para SQL Server
2000 en adelante.

Saludos y gracias por vuestra ayuda.
José Luis Capel