SQL Injection

Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que reemplazar
todas las comillas simples por doble comilla simple cuando envias cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Mostrar la cita

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia

Hola Pablo, no es cierto que por usar SP no hay injection, es mas
controlable pero no indica que no exista.
No comparto que digas que no usar SP es la mejor opcion, es una muy mala
opcion poner todo en la aplicacion y no ponerlo en SP lo que corresponda.

Un articulo:

http://www.configuracionesintegrale...p?articulo4


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en el
mensaje news:
Mostrar la cita

Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que
reemplazar
todas las comillas simples por doble comilla simple cuando envias
cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Mostrar la cita

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia

Gracias por tu apreciación

Att. Alex

"Maxi" escribió en el mensaje
news:
Mostrar la cita

Hola Pablo, no es cierto que por usar SP no hay injection, es mas
controlable pero no indica que no exista.
No comparto que digas que no usar SP es la mejor opcion, es una muy mala
opcion poner todo en la aplicacion y no ponerlo en SP lo que corresponda.

Un articulo:

http://www.configuracionesintegrale...p?articulo4


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en
el mensaje news:
Mostrar la cita

Alex, si utilizas procedimientos almacenados, no tendrías problemas de
sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que
reemplazar
todas las comillas simples por doble comilla simple cuando envias
cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Mostrar la cita

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
los
SQL Injection, en la misma BD, ya sea por una función que cuando envié
el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia

Gracias por tu apreciación.

Att. Alex

"Pablo Garateguy" escribió en el
mensaje news:
Mostrar la cita

Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que
reemplazar
todas las comillas simples por doble comilla simple cuando envias
cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Mostrar la cita

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia

Maxi, no quedó claro mi comentario me refería que usar sp ERA la mejor opción.

No estaba al tanto que podía efectuar sql injection si utilizo sp y paso el
texto como parámetro (obviamente si invoco al sp desde las aplicación sin
usar un command no gano nada en este sentido).

Este artículo no menciona nada de como injectar sql en caso de usar sp.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Maxi" wrote:

Mostrar la cita

Hola Pablo, no es cierto que por usar SP no hay injection, es mas
controlable pero no indica que no exista.
No comparto que digas que no usar SP es la mejor opcion, es una muy mala
opcion poner todo en la aplicacion y no ponerlo en SP lo que corresponda.

Un articulo:

http://www.configuracionesintegrale...p?articulo4


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en el
mensaje news:
> Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
> injection (al menos en la insersión en la base de datos)
>
> No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
> algún script a nivel de la base, y que tu puedas estar mostrándolo luego.
>
> En caso de no utilizar sp (que es la mejor opción), tendrías que
> reemplazar
> todas las comillas simples por doble comilla simple cuando envias
> cualquier
> campo string.
>
> Saludos
> Pablo Garateguy
> MCP - Visual Basic 6
> MCTS - SQL Server 2005
>
>
> "Alex Rodrigo Alfonso Marin" wrote:
>
>> Buenas grupo.
>>
>> Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
>> los
>> SQL Injection, en la misma BD, ya sea por una función que cuando envié el
>> parámetro al procedimiento almacenado me pueda quitar los caracteres no
>> validos, o si es mucho mas fácil controlarlos en los textbox de VFP.
>>
>> Trabajo SQL 2005 Express y VFP 9.0
>>
>> Gracias
>> Alex Alfonso
>>
>>
>> Bogota - Colombia
>>
>>
>>