Ver Mensaje Individual
  #2 (permalink)  
Antiguo 08/03/2013, 07:39
quimfv
Colaborador
 
Fecha de Ingreso: marzo-2008
Ubicación: Sabadell
Mensajes: 4.897
Antigüedad: 16 años, 8 meses
Puntos: 574
Respuesta: ¿Cuando escapar cadena?

Es necesario escapar una consulta cuando puede contener caracteres que resulten ambiguos para el lenguage de programación....

Si la consulta se genera integramente con textos que generas tu tendrás bien controlado cuando puede ser necesario (si va a haber ' apostrofes o " dobles comillas por ejemplo).

Si la query se construye apartir de datos entrados por el usuario es mucho mas necesario escapar puesto que no sabes lo que te van a poner... (si un usuario como username escribe pepito" OR "a"="a y no lo escapas bien la query de logueo puede acabar siendo

SELECT user FROM users WHERE password="flsdkjflkdjflsdj" AND username="pepito" OR "a"="a";

con lo que la seguridad puede quedar tocada...
__________________
Quim
--------------------------------------------------
Ayudar a ayudar es una buena práctica!!! Y da buenos resultados.

Última edición por quimfv; 08/03/2013 a las 07:45