Preocupado con ASP y SQL Server

Estimados.
Utilizo SS2000 SP4

http://localhost/carpeta/test2.asp?codigo345;update%20TABLA%20set%20campo1='nombre'%20where%20usuario='YO';%20--

La pagina web:
<!--#INCLUDE FILE="include/conexion.asp" -->
variable =Request.QueryString(codigo)
set ok=conn.execute ("exec [usuarioBD].[Sp_Nombre] 2008, 1, '" &
variable & "' ")

Como pueden apreciar tengo una pagina web llamada test2.asp que recibe
como parametro la variable codigo, bueno si a eso le agrego un update
y al ejecutar el procedimiento el update tambien se ejecuta.

El Update que se ejecuta es:
Update TABLA Set Campo1='nombre' Where usuario='YO'

Como evitar esto ??

Atte.
Penta

Usa procedimientos almacenados que recivan parametros y que no concatenen
estos para formar la sentencia a ejecutarse. Usa parametros con tipo de dato
adecuado y no le des mas longitud que la que necesita.


AMB

"Penta" wrote:

> Estimados.
> Utilizo SS2000 SP4
>
> http://localhost/carpeta/test2.asp?codigo345;update%20TABLA%20set%20campo1='nombre'%20where%20usuario='YO';%20--
>
> La pagina web:
> <!--#INCLUDE FILE="include/conexion.asp" -->
> variable =Request.QueryString(codigo)
> set ok=conn.execute ("exec [usuarioBD].[Sp_Nombre] 2008, 1, '" &
> variable & "' ")
>
> Como pueden apreciar tengo una pagina web llamada test2.asp que recibe
> como parametro la variable codigo, bueno si a eso le agrego un update
> y al ejecutar el procedimiento el update tambien se ejecuta.
>
> El Update que se ejecuta es:
> Update TABLA Set Campo1='nombre' Where usuario='YO'
>
> Como evitar esto ??
>
> Atte.
> Penta
>
>
>