Ver Mensaje Individual
  #1 (permalink)  
Antiguo 18/05/2012, 17:59
Avatar de freesoftwarrior
freesoftwarrior
 
Fecha de Ingreso: marzo-2006
Mensajes: 362
Antigüedad: 18 años, 9 meses
Puntos: 10
Seguridad contra inyección SQL

Buenas noches:
Tengo esta función

Cita:
Function depurarSQL(cadena)
prohibidas = array("select","drop",";","--","insert","delete","xp_","/","","*","%","<",">","or","=","'","""","Or","OR"," oR","Select","SeLeCt","!","_",""""""," or "," and ", "(",")","update","delete","drop","-shutdown","--")
miTemp = cadena
If Not isNull(miTemp) Then
For J = 0 To uBound(prohibidas)
miTemp = Replace(miTemp,prohibidas(J),"")
Next
miTemp = Server.HTMLEncode(miTemp)
depurarSQL = miTemp
Else
'no pasa nada
End If
End Function
Y la invoco de esta forma

Temp="Select * From Lista Where nick='" & depurarSQL(Request("dato01")) & "' And Password='" & depurarSQL(Request("dato02")) & "'"

Funciona bien pero ¿hay algunas "palabras" más que podría agregar o algo que pudiera mejorarlo un poco más?

Gracias por el apoyo

Un saludo desde Lima, Perú