Tema: Duda sobre evitar que nos ingresen Sentencias SQL
Ver Mensaje Individual
  #4 (permalink)  
Antiguo 09/08/2002, 17:41
Avatar de AlZuwaga
AlZuwaga
Colaborador
  
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 24 años, 2 meses
Puntos: 535
Re: Duda sobre evitar que nos ingresen Sentencias SQL
A mi me ocurrió. Armó un SQL y se logueó con los datos del primer usuario de la tabla.

Con respecto a si es necesario hacerlo en tooodos los campos, no lo se. Pero SI en los de validaciones de usuarios.

Creo que también dependería de lo que la SQL haga.. pensemos..

-en un 'insert' no hay 'where', así que creo que no hay problema...
-en un 'select' si hay (típico caso de comprobación de usuario registrado)
-en un 'update', tambien... y que podría ocurrir? Veamos:

SQL = "UPDATE Tabla SET Edad = 1 WHERE Username = 'algunoinventado' OR Username like '%%' AND Password = 'algunoinventado' OR Password like '%%'"

teniendo en cuenta que el usuario ingresado fue algunoinventado' OR Username like '%% y el pass algunoinventado' OR Password like '%% , este guacho estaría modificando las edades de todos nuestros usuarios registrados (claro que también tiene que saber el nombre de los campos)

bueno, ya me cansé de pensar