SQL Injection

07/02/2007 - 15:19 por Alex Rodrigo Alfonso Marin | Informe spam
Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia

Preguntas similare

Leer las respuestas

#1 Pablo Garateguy
07/02/2007 - 15:30 | Informe spam
Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que reemplazar
todas las comillas simples por doble comilla simple cuando envias cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia



Respuesta Responder a este mensaje
#2 Maxi
07/02/2007 - 15:35 | Informe spam
Hola Pablo, no es cierto que por usar SP no hay injection, es mas
controlable pero no indica que no exista.
No comparto que digas que no usar SP es la mejor opcion, es una muy mala
opcion poner todo en la aplicacion y no ponerlo en SP lo que corresponda.

Un articulo:

http://www.configuracionesintegrale...p?articulo4


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en el
mensaje news:
Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que
reemplazar
todas las comillas simples por doble comilla simple cuando envias
cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia



Respuesta Responder a este mensaje
#3 Alex Rodrigo Alfonso Marin
07/02/2007 - 15:45 | Informe spam
Gracias por tu apreciación

Att. Alex

"Maxi" escribió en el mensaje
news:
Hola Pablo, no es cierto que por usar SP no hay injection, es mas
controlable pero no indica que no exista.
No comparto que digas que no usar SP es la mejor opcion, es una muy mala
opcion poner todo en la aplicacion y no ponerlo en SP lo que corresponda.

Un articulo:

http://www.configuracionesintegrale...p?articulo4


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en
el mensaje news:
Alex, si utilizas procedimientos almacenados, no tendrías problemas de
sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que
reemplazar
todas las comillas simples por doble comilla simple cuando envias
cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
los
SQL Injection, en la misma BD, ya sea por una función que cuando envié
el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia









Respuesta Responder a este mensaje
#4 Alex Rodrigo Alfonso Marin
07/02/2007 - 15:45 | Informe spam
Gracias por tu apreciación.

Att. Alex

"Pablo Garateguy" escribió en el
mensaje news:
Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que
reemplazar
todas las comillas simples por doble comilla simple cuando envias
cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia



Respuesta Responder a este mensaje
#5 Pablo Garateguy
07/02/2007 - 16:03 | Informe spam
Maxi, no quedó claro mi comentario me refería que usar sp ERA la mejor opción.

No estaba al tanto que podía efectuar sql injection si utilizo sp y paso el
texto como parámetro (obviamente si invoco al sp desde las aplicación sin
usar un command no gano nada en este sentido).

Este artículo no menciona nada de como injectar sql en caso de usar sp.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Maxi" wrote:

Hola Pablo, no es cierto que por usar SP no hay injection, es mas
controlable pero no indica que no exista.
No comparto que digas que no usar SP es la mejor opcion, es una muy mala
opcion poner todo en la aplicacion y no ponerlo en SP lo que corresponda.

Un articulo:

http://www.configuracionesintegrale...p?articulo4


Salu2

Microsoft MVP SQL Server
Culminis Speaker

"Pablo Garateguy" escribió en el
mensaje news:
> Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
> injection (al menos en la insersión en la base de datos)
>
> No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
> algún script a nivel de la base, y que tu puedas estar mostrándolo luego.
>
> En caso de no utilizar sp (que es la mejor opción), tendrías que
> reemplazar
> todas las comillas simples por doble comilla simple cuando envias
> cualquier
> campo string.
>
> Saludos
> Pablo Garateguy
> MCP - Visual Basic 6
> MCTS - SQL Server 2005
>
>
> "Alex Rodrigo Alfonso Marin" wrote:
>
>> Buenas grupo.
>>
>> Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar
>> los
>> SQL Injection, en la misma BD, ya sea por una función que cuando envié el
>> parámetro al procedimiento almacenado me pueda quitar los caracteres no
>> validos, o si es mucho mas fácil controlarlos en los textbox de VFP.
>>
>> Trabajo SQL 2005 Express y VFP 9.0
>>
>> Gracias
>> Alex Alfonso
>>
>>
>> Bogota - Colombia
>>
>>
>>



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida