sql injection y caracteres de formulario

Astonmartin · #1 (**permalink**) 09/04/2010, 15:46

Hola, amigos

Estoy leyendo mucho sobre sql injection y hay algo que por más que leo no entiendo:

Si filtramos los caracteres de entrada procedentes de los formularios evitando los necesarios para ejecutar órdenes sql, ¿qué posibilidad tiene el atacante de inyectar código?

Estoy seguro de que se trata de una pregunta ingénua, pero por más vueltas que le doy ...

Gracias anticipadas

Astonmartin · #2 (**permalink**) 14/04/2010, 05:48

Vale, creo que me he confundido de foro, pero no sé como trasladarlo a SQL SERVER.

Por favor, orientarme.

David · #3 (**permalink**) 14/04/2010, 09:36

Hola, Astonmartin.

Traslado el tema a la sección de SQL Server.

Saludos.

iislas · #4 (**permalink**) 14/04/2010, 09:42

Si filtramos los caracteres de entrada procedentes de los formularios evitando los necesarios para ejecutar órdenes sql, ¿qué posibilidad tiene el atacante de inyectar código?

R=Muchas menos posibilidades, si no lo hicieras

Astonmartin · #5 (**permalink**) 18/04/2010, 05:58

Gracias, David.

En cuanto a la respuesta de iislas ¿Debo interpretarla de forma literal o debo intercalar "que"?

Saludos

iislas · #6 (**permalink**) 19/04/2010, 09:29

Siempre se recomienda filtrar caracteres especiales y palabras clave como INSERT, DELETE, UPDATE, etc.

Te recomiendo que hagas el filtrado