SQL server e inyeccion de codigo

03/07/2006 - 12:30 por Tito | Informe spam
Muchos DBA sugieren que se use Store procedures para toda accion de acceso o
modificacion a la base de datos. Yo pregunto si postear una sentencia sql a
traves de un comando sql en C# es susceptible de inyeccion de codigo ?
 

Leer las respuestas

#1 Octavio Hernandez
03/07/2006 - 13:42 | Informe spam
Tito,

Yo pregunto si postear una sentencia sql a traves de un comando sql en C#
es susceptible de inyeccion de codigo ?





No si utilizas SQL parametrizado en lugar de SQL dinámico.
Utiliza siempre que puedas sentencias de tipo:

"SELECT ID FROM Clientes WHERE Nombre = @Nombre AND Contra = @Contra"

asignando valores a los parámetros, en vez de

"SELECT ID FROM Clientes WHERE Nombre = '" + nombre + "' AND Contra = '"
+ contra + "'"

donde la sentencia se construye en tiempo de ejecución.

En cualquier caso, valida (del lado del servidor) la información que el
usuario introduce en los controles de texto.

Slsd - Octavio

Preguntas similares