evitar la inyeccion de codigo

tomasulo · #1 (**permalink**) 09/09/2007, 12:08

he visto este codigo generado por el DW css3 para autentificar un usuario

y me sorprende q no re realice nada para evitar la inyeccion de codigo.

replace ' por '' y esas cosas

es seguro?

Código PHP:

    MM_loginSQL = "SELECT *"

  If MM_fldUserAuthorization <> "" Then MM_loginSQL = MM_loginSQL & "," & MM_fldUserAuthorization

  MM_loginSQL = MM_loginSQL & " FROM usuarios WHERE [User] = ? AND pass = ?"

  Set MM_rsUser_cmd = Server.CreateObject ("ADODB.Command")

  MM_rsUser_cmd.ActiveConnection = MM_AR_STRING

  MM_rsUser_cmd.CommandText = MM_loginSQL

  MM_rsUser_cmd.Parameters.Append MM_rsUser_cmd.CreateParameter("param1", 200, 1, 255, MM_valUsername) ' adVarChar

  MM_rsUser_cmd.Parameters.Append MM_rsUser_cmd.CreateParameter("param2", 200, 1, 255, Request.Form("contraseña")) ' adVarChar

u_goldman · #2 (**permalink**) 09/09/2007, 12:23

Claro que es seguro, al envíar consultas parametrizadas, aislas el paso de variables en parámetros al motor de tu base de datos, con eso basta y sobra para la inyección de SQL.

Saludos

tomasulo · #3 (**permalink**) 09/09/2007, 15:49

gracias, apenas conocia CreateParameter

creo recordar q php utiliza algo parecido.

la verdad es q es mas comodo

u_goldman · #4 (**permalink**) 09/09/2007, 16:05

No solamente es más cómodo sino mas ordenado y más eficiente, lectura obligada:

http://www.aspfaq.com/params.htm

Saludos