Hola,
¿Qué protección ofrece ASP.NET frente al SQL Injection? Porque sí sé que en ASP normal era (y es) muy fácil.
¿Qué protecciones adicionales pondríais?
Gracias
04/07/2009, 04:16
| |||
| |||
| SQL-Injection en ASP.NET Hola, ¿Qué protección ofrece ASP.NET frente al SQL Injection? Porque sí sé que en ASP normal era (y es) muy fácil. ¿Qué protecciones adicionales pondríais? Gracias |
|
04/07/2009, 08:45
| ||||
| ||||
| Respuesta: SQL-Injection en ASP.NET Si usas las librerias Linq to dataBase lo trae todo incorporado, si usas querys directos en codigo ya sea llamando storeprocedure ó el query puro entonces nunca pongas esto así: string query = "select * from tabla where id = 5"; Lo que pones es así: string query = "select * from tabla where id = @id"; Y le mandas como parametro el valor de @id así: SqlCommand cmd = new SqlCommand(); cmd.Connection = oCon; cmd.CommandText = query; cmd.Parameters.AddWithValue("@id", 5); Así se protege y recomienda Microsoft que se haga uso de los querys. Saludos,
__________________ Como crear Excel usando Microsoft Office XML 2003 |
|
04/07/2009, 11:35
| |||
| |||
| Respuesta: SQL-Injection en ASP.NET Sí, así lo he hecho yo cuando lo he utilizado. Pero, ¿eso de parámetros entonces es efectivo, ya no te pueden meter código malicioso? ¿Está en otros lenguajes de programación web (php o asp)? ¿Y las librerías Linq to Database las recomiendas? ¿Para qué sirven? |
|
04/07/2009, 11:39
| ||||
| ||||
| Respuesta: SQL-Injection en ASP.NET Linq to Database es nuevo en el 3.5, bueno la verdad microsoft comunico que el Linq ya no lo usarán con DataBase en el futuro por errores que muestra. Pero si usando Parameters es una buena practica porque si te tiran Sql Injection simplemente el filtra todo eso. Saludos,
__________________ Como crear Excel usando Microsoft Office XML 2003 |
