SQL server e inyeccion de codigo

Mi mensaje creo que es claro. Un procedimiento almacenado por si mismo no
garantiza la no inyeccion de codigo. Incluso si un procedimiento almacenado
usa EXEC en su interior para ejecutar una consulta creada dentro de el,
usando los parametros que se le pasaron, puede llegar a ocurrir de todas
forma. Es la forma de invocarlo y las validaciones que se hagan lo que
permite o no la inyeccion de codigo.

Eduardo A. Morcillo [MS MVP VB]
http://www.mvps.org/emorcillo
http://mvp.support.microsoft.com/pr...4EF5A4191C

La idea de mi mensaje la interpretó Luis. Es un asunto de los permisos de
ejecutar SP's lo que cuenta en este caso.
No sirve de nada poner todo en SP's si el usuario tiene permiso de ejecutar
selects y hacer updates o inserts o drops directamente.


"Eduardo A. Morcillo [MS MVP VB]" <emorcillo .AT. mvps.org> escribió en el
mensaje news:eh%

Mi mensaje creo que es claro. Un procedimiento almacenado por si mismo no
garantiza la no inyeccion de codigo. Incluso si un procedimiento
almacenado usa EXEC en su interior para ejecutar una consulta creada
dentro de el, usando los parametros que se le pasaron, puede llegar a
ocurrir de todas forma. Es la forma de invocarlo y las validaciones que se
hagan lo que permite o no la inyeccion de codigo.

Eduardo A. Morcillo [MS MVP VB]
http://www.mvps.org/emorcillo
http://mvp.support.microsoft.com/pr...4EF5A4191C

La solución ideal sería filtrar toda la entrada de datos de usuario.

Como decían, el uso de parámetros ayuda, aunque también en los SP no te
libra de la inyección a no ser que se filtren los datos del usuario.


Saludos.

"Tito" escribió:

Muchos DBA sugieren que se use Store procedures para toda accion de acceso o
modificacion a la base de datos. Yo pregunto si postear una sentencia sql a
traves de un comando sql en C# es susceptible de inyeccion de codigo ?