SQL Injection

07/02/2007 - 15:19 por Alex Rodrigo Alfonso Marin | Informe spam
Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia
 

Leer las respuestas

#1 Pablo Garateguy
07/02/2007 - 15:30 | Informe spam
Alex, si utilizas procedimientos almacenados, no tendrías problemas de sql
injection (al menos en la insersión en la base de datos)

No conozco nada de VFP, pero tampoco creo que tengas problema si ingresan
algún script a nivel de la base, y que tu puedas estar mostrándolo luego.

En caso de no utilizar sp (que es la mejor opción), tendrías que reemplazar
todas las comillas simples por doble comilla simple cuando envias cualquier
campo string.

Saludos
Pablo Garateguy
MCP - Visual Basic 6
MCTS - SQL Server 2005


"Alex Rodrigo Alfonso Marin" wrote:

Buenas grupo.

Alguno de Uds., me podrían enseñar, facilitar u orientar como controlar los
SQL Injection, en la misma BD, ya sea por una función que cuando envié el
parámetro al procedimiento almacenado me pueda quitar los caracteres no
validos, o si es mucho mas fácil controlarlos en los textbox de VFP.

Trabajo SQL 2005 Express y VFP 9.0

Gracias
Alex Alfonso


Bogota - Colombia



Preguntas similares