Falla de seguridad ASP/SQL

Hola,
Alguien sabe quizas sabe como resolver este problemita?. Resulta que he
programado una aplicacion en ASP-internet para acceder a una base datos en
Access. Uso algunas "Select" como esta:

xxx="select * from profesor where loginnamn='" & loginn & "' and

& losen & "'"

Para mi sorpresa, alguien me dijo que un alumno habia podido entrar a la
base de datos usando la expresion:

%' or '%' like '%

"Luis Barrueto" wrote in message
news:
> Hola,
> Alguien sabe quizas sabe como resolver este problemita?. Resulta que he
> programado una aplicacion en ASP-internet para acceder a una base datos

> Access. Uso algunas "Select" como esta:
>
> xxx="select * from profesor where loginnamn='" & loginn & "' and
lösenord='"
> & losen & "'"
>
> Para mi sorpresa, alguien me dijo que un alumno habia podido entrar a la
> base de datos usando la expresion:
>
> %' or '%' like '%
>

Fácil, tienes que "escapar" todas las comillas simples, de forma que
cada una se convierta en dos:

Esto es un clásico, se llama inyección de código sql y tienes un artículo

portalsql.com que explica como y porqué y como se soluciona.

Saludos
Miguel Egea
"Tako" escribió en el mensaje
news:
>
> "Luis Barrueto" wrote in message
> news:
> > Hola,
> > Alguien sabe quizas sabe como resolver este problemita?. Resulta que

> > programado una aplicacion en ASP-internet para acceder a una base

en
> > Access. Uso algunas "Select" como esta:
> >
> > xxx="select * from profesor where loginnamn='" & loginn & "' and
> lösenord='"
> > & losen & "'"
> >
> > Para mi sorpresa, alguien me dijo que un alumno habia podido entrar a

> > base de datos usando la expresion:
> >
> > %' or '%' like '%
> >
>
> Fácil, tienes que "escapar" todas las comillas simples, de forma que
> cada una se convierta en dos:
>
>

"Luis Barrueto" wrote in message
news:
> Hola,
> Alguien sabe quizas sabe como resolver este problemita?. Resulta que he
> programado una aplicacion en ASP-internet para acceder a una base datos

> Access. Uso algunas "Select" como esta:
>
> xxx="select * from profesor where loginnamn='" & loginn & "' and
lösenord='"
> & losen & "'"
>
> Para mi sorpresa, alguien me dijo que un alumno habia podido entrar a la
> base de datos usando la expresion:
>
> %' or '%' like '%
>

Fácil, tienes que "escapar" todas las comillas simples, de forma que
cada una se convierta en dos:

Hola,
Disculpa, pero a que te refieres con "escapar", ando un poco despistado

la "jerga informatica", yo vivo en Suecia.
Gracias,
Luis
"Tako" wrote in message
news:
>
> "Luis Barrueto" wrote in message
> news:
> > Hola,
> > Alguien sabe quizas sabe como resolver este problemita?. Resulta que

> > programado una aplicacion en ASP-internet para acceder a una base

en
> > Access. Uso algunas "Select" como esta:
> >
> > xxx="select * from profesor where loginnamn='" & loginn & "' and
> lösenord='"
> > & losen & "'"
> >
> > Para mi sorpresa, alguien me dijo que un alumno habia podido entrar a

> > base de datos usando la expresion:
> >
> > %' or '%' like '%
> >
>
> Fácil, tienes que "escapar" todas las comillas simples, de forma que
> cada una se convierta en dos:
>
>