08/03/2013, 07:39
|
Colaborador | | Fecha de Ingreso: marzo-2008 Ubicación: Sabadell
Mensajes: 4.897
Antigüedad: 16 años, 9 meses Puntos: 574 | |
Respuesta: ¿Cuando escapar cadena? Es necesario escapar una consulta cuando puede contener caracteres que resulten ambiguos para el lenguage de programación....
Si la consulta se genera integramente con textos que generas tu tendrás bien controlado cuando puede ser necesario (si va a haber ' apostrofes o " dobles comillas por ejemplo).
Si la query se construye apartir de datos entrados por el usuario es mucho mas necesario escapar puesto que no sabes lo que te van a poner... (si un usuario como username escribe pepito" OR "a"="a y no lo escapas bien la query de logueo puede acabar siendo
SELECT user FROM users WHERE password="flsdkjflkdjflsdj" AND username="pepito" OR "a"="a";
con lo que la seguridad puede quedar tocada...
__________________ Quim
--------------------------------------------------
Ayudar a ayudar es una buena práctica!!! Y da buenos resultados.
Última edición por quimfv; 08/03/2013 a las 07:45 |