Seguridad contra inyección SQL

freesoftwarrior · #1 (**permalink**) 18/05/2012, 17:59

Buenas noches:
Tengo esta función

Cita:

Function depurarSQL(cadena)
prohibidas = array("select","drop",";","--","insert","delete","xp_","/","","*","%","<",">","or","=","'","""","Or","OR"," oR","Select","SeLeCt","!","_",""""""," or "," and ", "(",")","update","delete","drop","-shutdown","--")
miTemp = cadena
If Not isNull(miTemp) Then
For J = 0 To uBound(prohibidas)
miTemp = Replace(miTemp,prohibidas(J),"")
Next
miTemp = Server.HTMLEncode(miTemp)
depurarSQL = miTemp
Else
'no pasa nada
End If
End Function

Y la invoco de esta forma

Temp="Select * From Lista Where nick='" & depurarSQL(Request("dato01")) & "' And Password='" & depurarSQL(Request("dato02")) & "'"

Funciona bien pero ¿hay algunas "palabras" más que podría agregar o algo que pudiera mejorarlo un poco más?

Gracias por el apoyo

Un saludo desde Lima, Perú

anteojo · #2 (**permalink**) 30/05/2012, 03:20

Hola es mejor que utilices consultas parametrizadas por ejemplo:

Código:

<%
Dim Rs_consulta
Dim Rs_consulta_cmd
Dim Rs_consulta_numRows

Set Rs_consulta_cmd = Server.CreateObject ("ADODB.Command")
Rs_consulta_cmd.ActiveConnection = MM_conexionBD_STRING
Rs_consulta_cmd.CommandText = "SELECT * FROM Lista WHERE nick=? And Password=?" 
Rs_consulta_cmd.Prepared = true
Rs_consulta_cmd.Parameters.Append Rs_consulta_cmd.CreateParameter("nick", 200, 1, 255, Request("nick")) 
Rs_consulta_cmd.Parameters.Append Rs_consulta_cmd.CreateParameter("password", 200, 1, 255, Request("password"))
Set Rs_consulta = Rs_consulta_cmd.Execute
Rs_consulta_numRows = 0
%>

freesoftwarrior · #3 (**permalink**) 30/05/2012, 06:16

Muchas gracias por tu respuesta. No conocía el CrateParameter así que voy a investigar. Te comento luego como me fue.