Falla de seguridad ASP/SQL

"Miguel Egea" wrote in message
news:
Mostrar la cita

con permiso
añadir un código de escape (yo tambíen es la primera vez que lo oigo).

basta
Mostrar la cita

con que ejecutes replace(variable,"'","''")
es decir susituir una comilla simple por dos comillas simples.

Bueno, vale que lo de "escapar" no es del todo correcto :) pero por algo
lo he entrecomillado. Si no me acuerdo mal lo de "escape" viene de las
funciones que convertían una cadena en algo imprimible, a base de poner los
susodichos caracteres de escape, supongo que el concepto se amplio a
convertir cualquier cadena en algo aprovechable, por ejemplo quitando las
comillas simples - que tienen un significado especial - por comillas
dobles -que en TSQL significan una sola comilla -.

Normalmente la función que hace eso se suele llamar "escape" por eso lo
de "escapar" podría haber utilizado "escapear" pero me sonaba aun peor
:)



Mostrar la cita

Saludos
Miguel Egea
"Luis Barrueto" escribió en el mensaje
news:#
> Hola,
> Disculpa, pero a que te refieres con "escapar", ando un poco despistado
con
> la "jerga informatica", yo vivo en Suecia.
> Gracias,
> Luis
> "Tako" wrote in message
> news:
> >
> > "Luis Barrueto" wrote in message
> > news:
> > > Hola,
> > > Alguien sabe quizas sabe como resolver este problemita?. Resulta que
he
> > > programado una aplicacion en ASP-internet para acceder a una base
datos
> en
> > > Access. Uso algunas "Select" como esta:
> > >
> > > xxx="select * from profesor where loginnamn='" & loginn & "' and
> > lösenord='"
> > > & losen & "'"
> > >
> > > Para mi sorpresa, alguien me dijo que un alumno habia podido entrar

a
Mostrar la cita

la
> > > base de datos usando la expresion:
> > >
> > > %' or '%' like '%
> > >
> >
> > Fácil, tienes que "escapar" todas las comillas simples, de forma

que
Mostrar la cita

> > cada una se convierta en dos:
> >
> >
>
>

Mejor "escapa" de utilizar sql dinámico, utiliza siempre
parámetros en un command
En Access puedes incluso crearte los procedures
respectivos para reemplazar todas tus querys...
Suerte
Manuel


Mostrar la cita

Hola,
Disculpa, pero a que te refieres con "escapar", ando un

poco despistado con
Mostrar la cita

la "jerga informatica", yo vivo en Suecia.
Gracias,
Luis
"Tako" wrote in message
news:
Mostrar la cita

"Luis Barrueto" wrote in

message
Mostrar la cita

Mostrar la cita

news:
> Hola,
> Alguien sabe quizas sabe como resolver este

problemita?. Resulta que he
Mostrar la cita

Mostrar la cita

> programado una aplicacion en ASP-internet para

acceder a una base datos
Mostrar la cita

en
Mostrar la cita

> Access. Uso algunas "Select" como esta:
>
> xxx="select * from profesor where loginnamn='" &

loginn & "' and
Mostrar la cita

Mostrar la cita

lösenord='"
> & losen & "'"
>
> Para mi sorpresa, alguien me dijo que un alumno habia

podido entrar a la
Mostrar la cita

Mostrar la cita

> base de datos usando la expresion:
>
> %' or '%' like '%
>

Fácil, tienes que "escapar" todas las comillas

simples, de forma que
Mostrar la cita

Mostrar la cita

cada una se convierta en dos:

.