Como evitan la ejcucion de t-sql en ASP

22/07/2008 - 22:54 por Penta | Informe spam
Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.

Preguntas similare

Leer las respuestas

#1 Geovanny Quirós C.
22/07/2008 - 23:36 | Informe spam
Amigo Penta:

Yo evaluaria el valor que trae la cadena [Request.QueryString] y antes de
procesarla eliminaria todo lo que se parezca a esto:
insert
update
delete
drop
execute
'
;
etc

y mostraría un mensaje de error controlado y enviaría al usuario a una
pagina de advertencia y lo pondría en la lista negra.

otra opción es manejar variables de session (ya se que me van a reventar en
el foro por recomendar este tipo de variables pero algunas veces son muy
utiles)

Y por ultimo si no deseas que te digiten nada en la barra de direcciones
podrias implementar una pagina de marcos y ahí te ahorras bastantes
problemas.


Saludos
________________

Geovanny Quirós C.
Heredia, Costa Rica


"Penta" escribió en el mensaje de
noticias:
Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.
Respuesta Responder a este mensaje
#2 Luis
23/07/2008 - 00:33 | Informe spam
Si la consulta es parametrizada , no tienes ningun problema


"Penta" wrote in message
news:
Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.
Respuesta Responder a este mensaje
#3 Gustavo Larriera (MVP)
23/07/2008 - 18:34 | Informe spam
Para prevenir inyección de código SQL usted debe analizar y limpiar
cuidadosamente cada campo de texto donde acepta entrada de datos como
parámetros.

Hay cientos de artículos escritos que usted puede consultar. Le dejo uno
para empezar:

http://www.sitepoint.com/article/sq...cks-safe/5

Gustavo Larriera, Microsoft MVP
http://www.linkedin.com/in/gustavolarriera
Este mensaje se proporciona tal como es, sin garantías de ninguna clase.



"Penta" wrote:

Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.

Respuesta Responder a este mensaje
#4 Alejandro Mesa
23/07/2008 - 20:36 | Informe spam
Penta,

Aca te paso un link interesante, que menciona algunas herramientas
desarrolladas por Microsoft para chequear tu aplicacion.

Stopping SQL Injection in its Tracks
http://blogs.gotdotnet.com/buckwood...racks.aspx

SQL Injection Attacks
http://blogs.msdn.com/buckwoody/arc...tacks.aspx


AMB


"Penta" wrote:

Estimados.
Esto lo puse en el foro ASP.
Pero creo que aca hay mucho que decir.

Con SQL Server 2000
En un link donde que pida un parametro, se puede mandan una sentencia
t-sql como un update a alguna tabla, la idea es como lo evito ??



Atte.
Penta.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida