Sobre Inyecciones SQL,Para Isaias ó alguien mas
Publicado por alonso (21 intervenciones) el 26/06/2007 22:51:54
Primero q todo buenas tardes otra vez ,
Mi duda es como protejerme de las "inyecciones sql"
estoy trabajando con pb 9.0
y pienso usar la sentencia execute para actualizar el stock de mis articulos
string ls_new_mercaderia
string ls_mi_sintax
string ls_codigo
ls_new_mercaderia =sle_cant.text
ls_codigo =" ' "+ sle_codigo.text +" ' "
ls_mi_sintax ="update articulos set stock_actual = stock_actual + cast ("&
+ ls_new_mercaderia + "as decimal (18,2)) where codarticulo = "&
+ls_codigo
EXECUTE IMMEDIATE :ls_mi_sintax;
Se que en un codigo asi es facil incrustrar una sentencia sql ,la parte vulnerable
de este codigo estaria en la variable ls_codigo
se pueden incrustar codigos deletes , drop etc ,,
Hay funciones en sql , o algun comando que pueda incluir en la cadena ls_mi_sintax
para q el escrip cumpla su objetivo , y no sea vulnerable
Agradecere mucho su ayuda
Saludos desde Lima
Mi duda es como protejerme de las "inyecciones sql"
estoy trabajando con pb 9.0
y pienso usar la sentencia execute para actualizar el stock de mis articulos
string ls_new_mercaderia
string ls_mi_sintax
string ls_codigo
ls_new_mercaderia =sle_cant.text
ls_codigo =" ' "+ sle_codigo.text +" ' "
ls_mi_sintax ="update articulos set stock_actual = stock_actual + cast ("&
+ ls_new_mercaderia + "as decimal (18,2)) where codarticulo = "&
+ls_codigo
EXECUTE IMMEDIATE :ls_mi_sintax;
Se que en un codigo asi es facil incrustrar una sentencia sql ,la parte vulnerable
de este codigo estaria en la variable ls_codigo
se pueden incrustar codigos deletes , drop etc ,,
Hay funciones en sql , o algun comando que pueda incluir en la cadena ls_mi_sintax
para q el escrip cumpla su objetivo , y no sea vulnerable
Agradecere mucho su ayuda
Saludos desde Lima
Valora esta pregunta
0