Cita:
Empezado por ecfisa
Hola sabueso1010.
Una aclaración, cuando dije:
Me estaba refiriendo a que no podés enviar el nombre de tabla en un parámetro como está en el código que adjuntas en el mensaje #1.
Del modo que te sugiere defcon1_es si se puede, pero deja el código expuesto a la Inyección SQL.
Saludos. |
Me has dejado intrigado, pero en el ejemplo ¿cómo se podría inyectar código SQL si el nombre de la tabla no lo puede teclear un usuario?
¿modificando en memoria el contenido de la variable qTabla?
Voy a buscar más referencias sobre inyecciones de código SQL y sobre todo herramientas para el análisis de este tipo de vulnerabilidad.