Sobre "SQL INJECTION"

Si, si que tienes posiblidad de inyección de cóidgo ahí si usuario vale lo
que decía javier loria.

Te recomiendo que uses parámetros puedes usar select * from usuaros where
usuario=@usuario directamente y luego seguir las instrucciones de este
artículo para añadir parámetros, igualmente si usas un sp, Te recomiendo que
leas en detalle la explicación de Javier, es muy detallada y acertada.

http://www.configuracionesintegrale...articulo=7



-
Miguel Egea Gómez
Microsoft SQL-Server MVP
Webmaster de PortalSql.Com
¿Te interesa participar en las reuniones
del grupo de Usuarios de SQL-Server y .NET
Se harán en levante de España, (Alicante o Murcia)?



"Carlos A. Díaz" <carlosadiaz[nos pa m]@uolsinectis.com.ar> escribió en el
mensaje news:O%231%
Mostrar la cita

Gracias Javier y Maxi.

Estoy usando sp porque me deprimi con SQL DINAMICO y me decidi a migrar
todo a sp. Mi duda es, por ejemplo tengo un sp:

..sp_usuarios @Usuario VARCHAR(128) AS
SELECT * FROM USUARIOS WHERE USUARIO=@USUARIO

1) si desde vb lo llamo como:

rst.open("sp_usuarios '" & usuario & "'",conect,..

hay posibilidad de INJECTION ?

2) creando un command y sus parametros, y luego ejecutarlo, hay
posibilidad de INJECTION

Esoero vuestras respuestas, Saludos.

"Carlos A. Díaz" <carlosadiaz[nos pa m]@uolsinectis.com.ar> escribió en el
mensaje news:
Mostrar la cita

Leyendo articulos sobre el tema me queda unos pensamientos y dudas:
1) NO se deberia usar SELECT, INSERT, DELETE ni nada de eso desde una
aplicación puesto que se corre peligro, es eso completamente correcto o
depende de la autenticación.
2) TODO deberia ser SP ?
3) se puede aun utilizando SP, que usen SQL INJECTION cuando se pasa
algun parametro ?

Gracias por aclararme las dudas

Saludos