FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Buscar | Temas de Hoy | Marcar Foros Como Leídos |
|
Herramientas | Buscar en Tema | Desplegado |
|
#1
|
||||
|
||||
¡Pero no me has explicado nada! ¿Cuál es el peligro de esa consulta así de directa? Y, se lo diga o no, el usuario puede poner sus %.
// Saludos |
#2
|
||||
|
||||
El "%" le funcionara solo si tu consulta es un LIKE como pusiste, si es una igualdad (al menos en MySQL que es lo que trabajo todos los días) simplemente no hará nada.
__________________
AKA "El animalito" ||Cordobés a mucha honra|| |
#3
|
||||
|
||||
Bueno, eso lo entiendo. Lo que no entiendo es qué tiene que ver con inyección de código SQL, que es el tema que pusiste sobe la mesa. Si hay algún peligro potencial, sería bueno saberlo.
// Saludos |
#4
|
||||
|
||||
EL usar parámetros elimina la inyección de sql roman. Es una de las medidas a tomar.
__________________
El malabarista. |
#5
|
||||
|
||||
De acuerdo Mario, de hecho, siempre uso parámetros tan sólo por legibilidad y organización del código. Pero, vamos a suponer que no los uso. Sigue sin quedarme claro cuál es el peligro potencial del comodín. Entiendo otro tipo de peligros como el de aceptar que el usuario escriba apóstrofos, pero no veo qué sucede con el %.
// Saludos |
#6
|
||||
|
||||
El problema del comodin es solo si el codigo es vulnerable a injeccion.
Al usar parametros, este se "escapa". Es como con las URL. Si envias "un/ejemplo" directo, se entiende como una subcarpeta. Pero si se escapa es "un%2Fejemplo". Es el mismo principio: Al usar parametros, la BD "escapa" los caracteres potencialmente peligrosos, ergo, no hay peligro de injeccion.
__________________
El malabarista. |
#7
|
||||
|
||||
Yo creo que este sitio puede servir también como referencia, habla de la inyección de código y de parametrización pero trae mas ejemplos
__________________
AKA "El animalito" ||Cordobés a mucha honra|| |
#8
|
||||
|
||||
Cita:
// Saludos |
Herramientas | Buscar en Tema |
Desplegado | |
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
Aprendiendo a usar Trigger... | verito_83mdq | MySQL | 11 | 23-02-2011 00:05:13 |
Aprendiendo juegos de delphi | ferra99 | Varios | 6 | 29-10-2008 12:47:19 |
Aprendiendo | calistian | Varios | 4 | 14-06-2008 21:47:48 |
Aprendiendo a Aprender Firebird...!!! | RK2 | Firebird e Interbase | 5 | 12-05-2008 20:11:48 |
Aprendiendo delphi for php | JULIPO | PHP | 6 | 21-09-2007 21:19:47 |
|