Cadenas SQL

22/07/2005 - 12:17 por Eduardo | Informe spam
Hola a todos!
MI pregunta es la siguiente: Yo habia realizado una aplicacion para SQL
Server, y estaba jugando con mi modulo de conexion de mi programa
transformandolo para manejar las solicitudes por servicios Web. Comenze con
un servicio basico que me retorna un DataSet en base a un CommandText como
parametro a mi WebService.

Sucede que en mi version de SQLServer yo contaba con SQLCommand y la
habilidad de Agregar los parametros a las consultas parametrizadas, lo cual
me previene craches y bugs de seguridad como todos ya me imagino saben. Pero
ahora con el nuevo concepto ya no puedo, y el SqlComand no permite ver el
resultado final del commandText con los parametros agregados. Como hago para
obtener un commandtext seguro que no acarree problemas de caracteres (en uso
de LIKE) y de dañinas Funciones INsert, update o delete insertadas
maliciosamente al final de la sentencia ?


Y crear servicios web para cada variacion de una seleccion parametrizada no
me es viable, porque las variaciones son inmensas.

Gracias de antemano.
 

Leer las respuestas

#1 Ronald Ricardo Ramirez Moran
22/07/2005 - 16:56 | Informe spam
Te recomiendo utilizar Expresiones regulares en estos casos. Este se
encuentra en el Namespace System.Text.RegularExpressions. A mi me han sido
muy utiles,

Puedes encontrar mas informacion aqui:

http://www.microsoft.com/spanish/ms...art101.asp

http://msdn.microsoft.com/library/e...ssions.asp

http://www.elguille.info/colabora/p...lbaran.htm

http://www.elguille.info/regexp/indice.aspx

http://www.dotgnu.org/pnetlib-statu...sions.html
Saludos
Ronald Ricardo Ramirez Moran
Developer/Analyst

INETA Latam Volunteer
FoxEcuador Regional Coordinator

Blog:
http://dlanorok.blogspot.com
http://weblogs.foxite.com/DlanorOk


"Eduardo" wrote:

Hola a todos!
MI pregunta es la siguiente: Yo habia realizado una aplicacion para SQL
Server, y estaba jugando con mi modulo de conexion de mi programa
transformandolo para manejar las solicitudes por servicios Web. Comenze con
un servicio basico que me retorna un DataSet en base a un CommandText como
parametro a mi WebService.

Sucede que en mi version de SQLServer yo contaba con SQLCommand y la
habilidad de Agregar los parametros a las consultas parametrizadas, lo cual
me previene craches y bugs de seguridad como todos ya me imagino saben. Pero
ahora con el nuevo concepto ya no puedo, y el SqlComand no permite ver el
resultado final del commandText con los parametros agregados. Como hago para
obtener un commandtext seguro que no acarree problemas de caracteres (en uso
de LIKE) y de dañinas Funciones INsert, update o delete insertadas
maliciosamente al final de la sentencia ?


Y crear servicios web para cada variacion de una seleccion parametrizada no
me es viable, porque las variaciones son inmensas.

Gracias de antemano.

Preguntas similares