Tema: Evitar SQL-Injection mediante el uso de parámetros
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 01/08/2007, 15:14
un_tio
 
Fecha de Ingreso: febrero-2005
Mensajes: 1.015
Antigüedad: 19 años, 9 meses
Puntos: 6
Evitar SQL-Injection mediante el uso de parámetros
Tenía entendido que aparte de sustituir todos los caracteres potencialmente peligrosos que te introdujeran desde un formulario, podías utilizar parámetros al ejecutar la sentencia SQL (en lugar de crearla dinámicamente), siendo esto ya suficiente para evitar el SQL-Injection o como poco avanzando bastante faena.

¿Estoy en lo cierto? ¿Por qué ayuda el uso de parámetros (por ejemplo, poner: WHERE campo1=@valor)? ¿Hasta qué punto evitan el SQL Injection?

------------------------------------------------

Páginas sobre el tema:

Que apoyan la tesis que he mencionado arriba sobre utilizar parámetros:
http://dotnetjunkies.com/WebLog/vbpu...injection.aspx
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
Entretenidas:
http://elladodelmal.blogspot.com/200...valor-por.html