SQL injection

12/01/2006 - 19:00 por Diego \(DCD\) | Informe spam

Hola,

me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

un saludo y gracias.

Siga el debate

7 respuestas

Tengo una respuesta

DRAGON AGE™: INQUISITION – Matadragones

Leer las respuestas

#1 A.Poblacion

12/01/2006 - 19:04 | Informe spam

"Diego (DCD)" wrote in message
news:

me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

Una forma de evitarlos es parametrizando siempre tus consultas SQL, en
lugar de concatenarles los datos introducidos por el usuario. Por ejemplo,
si estás usando una consulta como esta:

string sentencia = "Select * from Clientes where
Ciudad='"+txtCiudad.Text+"'";
SqlCommand cmd=new SqlCommand(sentencia, conexion);

corres el riesgo de que te inyecten SQL tecleándolo en el textbox
txtCiudad. Para evitarlo, parametrízala asi:

string sentencia = "Select * from Clientes where Ciudad=@Ciudad";
SqlCommand cmd=new SqlCommand(sentencia, conexion);
cmd.Parameters.Add("@Ciudad", txtCiudad.Text);

Leer las otras respuestas

Preguntas similares

Busqueda sugerida :