Falla de seguridad ASP/SQL

14/10/2003 - 11:54 por Luis Barrueto | Informe spam
Hola,
Alguien sabe quizas sabe como resolver este problemita?. Resulta que he
programado una aplicacion en ASP-internet para acceder a una base datos en
Access. Uso algunas "Select" como esta:

xxx="select * from profesor where loginnamn='" & loginn & "' and lösenord='"
& losen & "'"

Para mi sorpresa, alguien me dijo que un alumno habia podido entrar a la
base de datos usando la expresion:

%' or '%' like '%

Tanto en Login: %' or '%' like '% como en Password: %' or '%' like '%
Saludos,
Luis
 

Leer las respuestas

#1 Tako
14/10/2003 - 11:50 | Informe spam
"Luis Barrueto" wrote in message
news:
Hola,
Alguien sabe quizas sabe como resolver este problemita?. Resulta que he
programado una aplicacion en ASP-internet para acceder a una base datos en
Access. Uso algunas "Select" como esta:

xxx="select * from profesor where loginnamn='" & loginn & "' and


lösenord='"
& losen & "'"

Para mi sorpresa, alguien me dijo que un alumno habia podido entrar a la
base de datos usando la expresion:

%' or '%' like '%




Fácil, tienes que "escapar" todas las comillas simples, de forma que
cada una se convierta en dos:

Preguntas similares