Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

SQL Injection

07/02/2007 - 15:19 por Alex Rodrigo Alfonso Marin | Informe spam
Ayuda Hacer una pregunta
Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia
email Siga el debateRespuesta 7 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 Maxi
07/02/2007 - 16:11 | Informe spam
ok, claro si usas EXEC desde la aplicacion estaras en problemas, por eso te
decia que no era un factor el usar o no SP sino como se pasan las cosas y
ademas como es la seguridad de lo que hacemos


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en el
mensaje news:
Maxi, no quedó claro mi comentario me refería que usar sp ERA la mejor
opción.

No estaba al tanto que podía efectuar sql injection si utilizo sp y paso
el
texto como parámetro (obviamente si invoco al sp desde las aplicación sin
usar un command no gano nada en este sentido).

Este artículo no menciona nada de como injectar sql en caso de usar sp.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Maxi" wrote:

Hola Pablo, no es cierto que por usar SP no hay injection, es mas
controlable pero no indica que no exista.
No comparto que digas que no usar SP es la mejor opcion, es una muy mala
opcion poner todo en la aplicacion y no ponerlo en SP lo que corresponda.

Un articulo:

http://www.configuracionesintegrale...p?articulo4


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en
el
mensaje news:
> Alex, si utilizas procedimientos almacenados, no tendrías problemas de
> sql
> injection (al menos en la insersión en la base de datos)
>
> No conozco nada de VFP, pero tampoco creo que tengas problema si
> ingresan
> algún script a nivel de la base, y que tu puedas estar mostrándolo
> luego.
>
> En caso de no utilizar sp (que es la mejor opción), tendrías que
> reemplazar
> todas las comillas simples por doble comilla simple cuando envias
> cualquier
> campo string.
>
> Saludos
> Pablo Garateguy
> MCP - Visual Basic 6
> MCTS - SQL Server 2005
>
>
> "Alex Rodrigo Alfonso Marin" wrote:
>
>> Buenas grupo.
>>
>> Alguno de Uds., me podrían enseñar, facilitar u orientar como
>> controlar
>> los
>> SQL Injection, en la misma BD, ya sea por una función que cuando envié
>> el
>> parámetro al procedimiento almacenado me pueda quitar los caracteres
>> no
>> validos, o si es mucho mas fácil controlarlos en los textbox de VFP.
>>
>> Trabajo SQL 2005 Express y VFP 9.0
>>
>> Gracias
>> Alex Alfonso
>>
>>
>> Bogota - Colombia
>>
>>
>>



Respuesta Responder a este mensaje
#7 Alejandro Mesa
07/02/2007 - 17:30 | Informe spam
Alex,

Aca puedes encontrar la respuesta.

Las virtudes y maldades del SQL dinámico
http://www.hayes.ch/sql/sql_dinamico.html


AMB


"Alex Rodrigo Alfonso Marin" wrote:

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida