SQL injection

biffly · #1 (**permalink**) 16/04/2008, 10:07

hola, estoy creando una función para evitar el SQL injection, pero me entro una duda, es recomendable controlar las @ ? es decir tengo un array

Código:

array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|")

para verificar y lo que quiero saver es si debo bloquear las @, ya que como se que algunas funciones de T-SQL comienzan con @@ su nombre, esto es recomendable.

Espero ser claro.

Gracias

iislas · #2 (**permalink**) 16/04/2008, 13:05

Mucha gente se dedica al tema de resolver el SQL INJECTION, vea esta liga:

http://msdn2.microsoft.com/es-mx/mag...17(en-us).aspx

biffly · #3 (**permalink**) 16/04/2008, 14:03

Gracias por tu respuesta, espero poder encontrar la respuesta.

Saludos

viviab · #4 (**permalink**) 21/04/2008, 05:17

no es necesario, ni controlar las @ ni los caracteres de comentarios -- ni las temidas comillas.

Si creas una funcion que admite parámetros estos datos se introducen como texto, nunca son interpretados como parte de programación sql. Esto es así a menos que tengas sql dinamico dentro de la funcion.