C sharp - Vulnerabilidad

   
Vista:

Vulnerabilidad

Publicado por Adriana (20 intervenciones) el 17/06/2011 15:35:42
Hola, una duda.. haber si alguien me ayuda please.

1) Mando llamar un store procedure pasandole los parametros correspondientes..
Me trae el resultado correctamente y me lo visualiza en unos textbox, al tenerlos en el textbox
los puedo modificar y almacenarlo en una tabla.

2) Tengo uno datecontrol, que se llenan con las fechas actuales son 2 textbox uno de fecha inicial y otro de fecha final,. permiten ser cambiados y visualizan la informacion del rango de periodo elegido.

No tengo ningun error en el funcionamiento, la aplicacion funciona bien.

El detalle es que tengo vulnerabilidad de SQL Inyection en los pasos 1 y 2 que mencione anteriormente.

Alguien sabe como puedo solucionarlo?

Gracias de Antemano.

Adriana.
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder
Imágen de perfil de roger

Vulnerabilidad

Publicado por roger rogergomez780@hotmail.com (160 intervenciones) el 17/06/2011 15:56:54
si estas usando procedimientos almacenados y estas agregando los parametros normalmente, y no concatenando cadenas para formar la sentencia sql, no debes tener peligro de sql injection

saludos
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

Vulnerabilidad

Publicado por m (1 intervención) el 18/06/2011 07:08:15
Para estar mas seguros solo tienes que validar que los campos de los textbox sean formatos en fecha.
Y listo, te olvidas de que le agreguen cualquier otro caracter o sentencia sql.

saludos
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

Vulnerabilidad

Publicado por Adriana (20 intervenciones) el 21/06/2011 19:05:57
Muchas Gracias por sus respuestas... :) he intentado mucho y nada me funciona
el detalle es que tengo un textbox con mascara mm/dd/aaaa solo admite numeros... y tambien se puede seleccionar por medio de un calendario,

El detalle es que por default al ingresar en la aplicacion necesito el dia actual...
ahi es donde concateno..

textbox.text= DateTime.Now.Month.ToString() + "/" + DateTime.Now.Day.ToString() + "/" + DateTime.Now.Year.ToString();

tal vez ahi esta mi error.. pero como puedo hacerlo sin tener que hacer esto¡?'
Alguna idea..

Muchas Gracias de Antemano.

Adriana
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar