18/05/2012, 17:59
|
| | | Fecha de Ingreso: marzo-2006
Mensajes: 362
Antigüedad: 18 años, 9 meses Puntos: 10 | |
Seguridad contra inyección SQL Buenas noches:
Tengo esta función Cita: Function depurarSQL(cadena)
prohibidas = array("select","drop",";","--","insert","delete","xp_","/","","*","%","<",">","or","=","'","""","Or","OR"," oR","Select","SeLeCt","!","_",""""""," or "," and ", "(",")","update","delete","drop","-shutdown","--")
miTemp = cadena
If Not isNull(miTemp) Then
For J = 0 To uBound(prohibidas)
miTemp = Replace(miTemp,prohibidas(J),"")
Next
miTemp = Server.HTMLEncode(miTemp)
depurarSQL = miTemp
Else
'no pasa nada
End If
End Function Y la invoco de esta forma Temp="Select * From Lista Where nick='" & depurarSQL(Request("dato01")) & "' And Password='" & depurarSQL(Request("dato02")) & "'"
Funciona bien pero ¿hay algunas "palabras" más que podría agregar o algo que pudiera mejorarlo un poco más?
Gracias por el apoyo
Un saludo desde Lima, Perú |