[SOLUCIONADO] Como Hacer un procedimiento para login de forma correcta

alfredost · #1 (**permalink**) 25/10/2013, 21:44

Al guien me podria decir por que y como arreglar esto

como veran es un select pero en le segundo dejo varios espacios pero igual asi me muestra el mismo resultado que el primero sin espacios

GeriReshef · #2 (**permalink**) 25/10/2013, 23:42

Si la columna CCT es un Char (o NChar) el sistema tiene razon y los espacios son parte de la cadena.
Por el otro lado, si se trata de un Varchar (o NVarchar) - intenta cambiar el "=" en "Like".

alfredost · #3 (**permalink**) 26/10/2013, 08:27

Cita:

Iniciado por GeriReshef

Si la columna CCT es un Char (o NChar) el sistema tiene razon y los espacios son parte de la cadena.
Por el otro lado, si se trata de un Varchar (o NVarchar) - intenta cambiar el "=" en "Like".

esto lo necesito para hacer un login, el cual llevaba asi

Código SQL:

Ver originalALTER PROCEDURE [dbo].[Sp_Acceso] 
    -- Add the parameters for the stored procedure here
    @cctusuario VARCHAR(50),
    @contraseña VARCHAR(50),
    @Acesso INT output
AS
BEGIN
    --
    IF (SELECT COUNT (*)
        FROM DATOS_GENERALES
        WHERE cct=@cctusuario
        AND pass = @contraseña)>0
        BEGIN SET @Acesso = 1 
        print 'acceso'
        END
    ELSE
        BEGIN SET @Acesso = 0 
        print 'denegado'
        END
END

pero me marcaba acceso tanto si dejaba espacio en cct o si lo dejo en pass, la forma correcta de hacer el login como seria entonces, no puedo usar like pra loguearme

GeriReshef · #4 (**permalink**) 27/10/2013, 01:06

No entiendo cuál es el problema con Like en este caso:
¿es porque no funciona correctamente o porque no es seguro utilizar el Like por razón de "SQL Injection"?

alfredost · #5 (**permalink**) 27/10/2013, 09:02

Cita:

Iniciado por GeriReshef

No entiendo cuál es el problema con Like en este caso:
¿es porque no funciona correctamente o porque no es seguro utilizar el Like por razón de "SQL Injection"?

es por el sql injection, si uso el like para loguearme seria regalar el acceso

GeriReshef · #6 (**permalink**) 27/10/2013, 09:23

Tienes razón.

Otra solución pueda ser:

Código SQL:

Ver originalWHERE   CCT='25KJN1761M' AND DataLength(CCT)=DataLength('25KJN1761M');

Voy a averiguar este tema para que este más seguro sobre el tema.

alfredost · #7 (**permalink**) 27/10/2013, 13:13

Cita:

Iniciado por GeriReshef

Tienes razón.

Otra solución pueda ser:

Código SQL:

Ver originalWHERE   CCT='25KJN1761M' AND DataLength(CCT)=DataLength('25KJN1761M');

Voy a averiguar este tema para que este más seguro sobre el tema.

eso me funciono bien, gracias

GeriReshef · #8 (**permalink**) 27/10/2013, 13:32

Lo que pasa es que cuando el sistema compara dos cadenas (parametros, columnas, cadenas explicitas..) - agrega a la cadena mas corta espacios para que tengan el mismo tamañם, y por lo tanto si comparas 'S' y 'S ' el sistema agrega los espacios adicionales tambien a la 'S'.

alfredost · #9 (**permalink**) 27/10/2013, 22:21

entonces el sistema igualaba la longitud con espacios, gracias por la solucion y por la explicacion