Ver Mensaje Individual
  #8  
Antiguo 02-08-2006
Sick boy Sick boy is offline
Miembro
 
Registrado: may 2003
Ubicación: Cantabria
Posts: 245
Reputación: 21
Sick boy Va por buen camino
jejejeeje, no queria entrar en el SQL-injection para no complicar el tema.
Con access bastaria con romper la protección de la base de datos y leer la tabla de usuarios, asi que no me pareció oportuno entrar a comentar esta tecnica.

Pero, date cuenta de que en el caso de encriptar el login y el password, la injeccion de sql es imposible, ya que los dos parametros se encriptan ANTES DE pasarselos al query.

Por otro lado,
Cita:
Código SQL [-]
SELECT login FROM usuarios WHERE login=login AND password=passsord

pudiera prestarse a una inyección sql. Pienso que convendría más simplemente buscar el login:


Código SQL [-]
SELECT login FROM usuarios WHERE login=login
Si no se encriptan y/o procesan (limitar el juego de caracteres es suficiente) los datos proporcionados por el usuario, AMBAS sentencias son inyectables.

¿por qué es más segura la segunda sentencia que la primera???
Responder Con Cita