Foros del Web » Programando para Internet » ASP Clásico »

Duda sobre evitar que nos ingresen Sentencias SQL

 Estas en el tema de Duda sobre evitar que nos ingresen Sentencias SQL en el foro de ASP Clásico en Foros del Web. Para evitar que nos ingresen Sentencias SQL en un textbox, ¿es necesario usar estas sentencias en todos los campos que sean textbox? Ejemplo: usuario=replace(request.form("usuario"), "'","") ...
  #1 (permalink)  
Antiguo 09/08/2002, 15:18
 
Fecha de Ingreso: mayo-2002
Ubicación: Capital Federal
Mensajes: 630
Antigüedad: 22 años, 11 meses
Puntos: 1
Duda sobre evitar que nos ingresen Sentencias SQL
Para evitar que nos ingresen Sentencias SQL en un textbox, ¿es necesario usar estas sentencias en todos los campos que sean textbox?
Ejemplo:
usuario=replace(request.form("usuario"), "'","")
password=replace(request.form("password" ),"'","")

Si tengo un formulario para llenar con nombre, apellido, direccion, edad, etc. ¿también tengo que hacer esto?

Gracias.

Marx.
  #2 (permalink)  
Antiguo 09/08/2002, 16:31
 
Fecha de Ingreso: julio-2002
Mensajes: 209
Antigüedad: 22 años, 9 meses
Puntos: 0
Re: Duda sobre evitar que nos ingresen Sentencias SQL
Hola de nuevo.

Respecto a tu duda yo quiero hacerte una pregunta, acaso has tenido problema con que alguien ingrese una consulta a SQL?

Te pregunto esto por que si lo habia pensado antes, pero no crei que fuese posible.
  #3 (permalink)  
Antiguo 09/08/2002, 16:38
 
Fecha de Ingreso: mayo-2002
Ubicación: Capital Federal
Mensajes: 630
Antigüedad: 22 años, 11 meses
Puntos: 1
Re: Duda sobre evitar que nos ingresen Sentencias SQL
Hola Lynx! No me pasó, pero por ahí si hay alguien que tenga más tiempo en esto o lo sabe, a lo mejor nos saca de la duda.

Saludos.

Marx.
  #4 (permalink)  
Antiguo 09/08/2002, 17:41
Avatar de AlZuwaga
Colaborador
  
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 24 años, 2 meses
Puntos: 535
Re: Duda sobre evitar que nos ingresen Sentencias SQL
A mi me ocurrió. Armó un SQL y se logueó con los datos del primer usuario de la tabla.

Con respecto a si es necesario hacerlo en tooodos los campos, no lo se. Pero SI en los de validaciones de usuarios.

Creo que también dependería de lo que la SQL haga.. pensemos..

-en un 'insert' no hay 'where', así que creo que no hay problema...
-en un 'select' si hay (típico caso de comprobación de usuario registrado)
-en un 'update', tambien... y que podría ocurrir? Veamos:

SQL = "UPDATE Tabla SET Edad = 1 WHERE Username = 'algunoinventado' OR Username like '%%' AND Password = 'algunoinventado' OR Password like '%%'"

teniendo en cuenta que el usuario ingresado fue algunoinventado' OR Username like '%% y el pass algunoinventado' OR Password like '%% , este guacho estaría modificando las edades de todos nuestros usuarios registrados (claro que también tiene que saber el nombre de los campos)

bueno, ya me cansé de pensar
  #5 (permalink)  
Antiguo 09/08/2002, 18:06
 
Fecha de Ingreso: mayo-2002
Ubicación: Capital Federal
Mensajes: 630
Antigüedad: 22 años, 11 meses
Puntos: 1
Re: Duda sobre evitar que nos ingresen Sentencias SQL
dazuaga... cada vez que veo tus respuestas más miedo me da ser tu enemigo... ;) .
Taaaaaanto que sabés guach..

Todo bien dazuaga, no dejo de sorprenderme cada vez que leo los post (estoy todo el dia acá) pero, es increíble las cosas que pueden pasar y hacer.

Ya me lo estoy agendando para tenerlo bien en cuenta.

Gracias y por supuesto si alguien quiere contar su anécdota... bienvenido sea.

Saludos.
Marx.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 06:32.