Como evitan la ejcucion de t-sql en ASP

22/07/2008 - 22:54 por Penta | Informe spam
Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.
 

Leer las respuestas

#1 Geovanny Quirós C.
22/07/2008 - 23:36 | Informe spam
Amigo Penta:

Yo evaluaria el valor que trae la cadena [Request.QueryString] y antes de
procesarla eliminaria todo lo que se parezca a esto:
insert
update
delete
drop
execute
'
;
etc

y mostraría un mensaje de error controlado y enviaría al usuario a una
pagina de advertencia y lo pondría en la lista negra.

otra opción es manejar variables de session (ya se que me van a reventar en
el foro por recomendar este tipo de variables pero algunas veces son muy
utiles)

Y por ultimo si no deseas que te digiten nada en la barra de direcciones
podrias implementar una pagina de marcos y ahí te ahorras bastantes
problemas.


Saludos
________________

Geovanny Quirós C.
Heredia, Costa Rica


"Penta" escribió en el mensaje de
noticias:
Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.

Preguntas similares