jejejeeje, no queria entrar en el SQL-injection para no complicar el tema.
Con access bastaria con romper la protección de la base de datos y leer la tabla de usuarios, asi que no me pareció oportuno entrar a comentar esta tecnica.
Pero, date cuenta de que en el caso de encriptar el login y el password, la injeccion de sql es imposible, ya que los dos parametros se encriptan ANTES DE pasarselos al query.
Por otro lado,
Cita:
Código SQL [-]
SELECT login FROM usuarios WHERE login=login AND password=passsord
pudiera prestarse a una inyección sql. Pienso que convendría más simplemente buscar el login:
Código SQL [-]
SELECT login FROM usuarios WHERE login=login
|
Si no se encriptan y/o procesan (limitar el juego de caracteres es suficiente) los datos proporcionados por el usuario, AMBAS sentencias son inyectables.
¿por qué es más segura la segunda sentencia que la primera???