Ver Mensaje Individual
  #2 (permalink)  
Antiguo 04/08/2007, 23:37
Avatar de Gabo77
Gabo77
 
Fecha de Ingreso: noviembre-2006
Mensajes: 381
Antigüedad: 18 años
Puntos: 6
Re: Evitar SQL-Injection mediante el uso de parámetros

No me creas, pero si utilizas un poco la lógica, cuando usas parámetros es por que estas hablando de un StoredProcedure, en el cuál tienes una sentencia SQL ya definida, es decir, no se arma mediante cadenas de texto para luego llamar a la sentencia execute, con lo cual, cualquier cosa que le pongan al parámetro (sean comillas o código SQL) no lo incorporará al cuerpo de la sentencia, sencillamente por que no estas armando una consulta, ya está armada, lo que le pases por medio parámetro pos no es mas que parámetro y punto.

Ahora, si dentro del SP armas un SQL dinámico con lo recibido por parámetro, entonces el que venga por parámetro no te va a proteger nada....

Espero haber sido claro, por que ni yo me entendí.... :p


Saludos!
__________________
Hicimos un pacto con Dios... El no desarrolla Sistemas y nosotros no hacemos milagros....