Buenas, queria saber si hay alguna forma de evitar que un usuario de algun sistema pueda poner una consulta SQL en algun campo de texto. Tengo la siguiente situaicion:
en una ventana tengo un campo de texto y un boton. El usuario debe ingresar un nombre y al apretar el boton se invoca a un procedimiento almacenado el cual tiene por parametro un varchar. Todo funciona bien, pero en el caso de que el usuario ingrese alguna consulta ( por ejempo < ' delete MiTabla -- > ) de la forma adecuada, la consulta se ejecuta y puede ser catastrofico.
Lo que planteas es un caso similar al de SQL Injection. La manera de evitarlo es que uses Prepared Statement con los datos relevantes en "variables" (?,?...) SQL
Buenas, queria saber si hay alguna forma de evitar que un usuario de algun sistema pueda poner una consulta SQL en algun campo de texto. Tengo la siguiente situaicion:
en una ventana tengo un campo de texto y un boton. El usuario debe ingresar un nombre y al apretar el boton se invoca a un procedimiento almacenado el cual tiene por parametro un varchar. Todo funciona bien, pero en el caso de que el usuario ingrese alguna consulta ( por ejempo < ' delete MiTabla -- > ) de la forma adecuada, la consulta se ejecuta y puede ser catastrofico.
Hay alguna forma de evitarlo?
Gracias!