SQL injection

12/01/2006 - 19:00 por Diego \(DCD\) | Informe spam
Hola,

me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.

un saludo y gracias.
 

Leer las respuestas

#1 A.Poblacion
12/01/2006 - 19:04 | Informe spam
"Diego (DCD)" wrote in message
news:
me gustaría saber si alguien tiene información de cómo evitar este tipo
de ataques, o tiene alguna documentación de cómo hacerlo.



Una forma de evitarlos es parametrizando siempre tus consultas SQL, en
lugar de concatenarles los datos introducidos por el usuario. Por ejemplo,
si estás usando una consulta como esta:

string sentencia = "Select * from Clientes where
Ciudad='"+txtCiudad.Text+"'";
SqlCommand cmd=new SqlCommand(sentencia, conexion);

corres el riesgo de que te inyecten SQL tecleándolo en el textbox
txtCiudad. Para evitarlo, parametrízala asi:

string sentencia = "Select * from Clientes where Ciudad=@Ciudad";
SqlCommand cmd=new SqlCommand(sentencia, conexion);
cmd.Parameters.Add("@Ciudad", txtCiudad.Text);

Preguntas similares