SlideShare une entreprise Scribd logo

Seguridad en aplicaciones ASP.NET

Kike Salaverría
Kike Salaverría

Seguridad en aplicaciones ASP.NET

Technologie
1  sur  19
Dim queryString As String = _ "SELECT * FROM users WHERE username = ‘” & Me.user.text & ”’ AND password = ‘” & Me.pass.text & ”’;“ Using connection As New SqlConnection(connectionString) connection.Open() Dim command As New SqlCommand(queryString, connection) Dim reader As New SqlDataReader = command.ExecuteReader() If reader.Read() then result.text = “Bienvenido ” & reader(0) Else result.text = “No se pudologuear!” End if connection.Close() End Using
No hay validación del contenido de la información Los usuarios pueden escribir cualquier cosa!
‘ OR 1 = 1 -- SELECT * FROM usuarios WHERE username = ‘’ OR 1 = 1 --’ AND password = ‘cualquiercosa’;“ ‘; INSERT INTO usuarios VALUES(‘TuUsuario', ‘TuPassword') -- SELECT * FROM usuarios WHERE username = ‘‘; INSERT INTO usuarios VALUES(‘TuUsuario', ‘TuPassword') --’ AND password = ‘cualquiercosa’;“ ‘; DROP TABLE usuarios -- SELECT * FROM usuarios WHERE username = ‘‘; DROP TABLE usuarios -- ’ AND password = ‘cualquiercosa’;“
Evitar la concatenación de variables con sentencias SQL Hacer validaciones fuertes y exhaustivas Desconfiar de lo que los usuarios escriben Apoyarse con las herramientas que provee ASP
Dimquery As String = “SELECT * FROM usuarios WHERE username = @user AND password = @pass;” … DimuserParameter As New SqlParameter(“@user”, SqlDbType.NVarChar, 25) WithuserParameter .Value = Me.user.text EndWith Command.Parameters.Add(userParameter) ‘mismo procedimiento para @pass …
CREATE PROCEDURE dbo.GetLogin( @usernamevarchar(25), @passwordvarchar(25) ) AS SELECT * FROM usuarios WHERE username = @username AND password = @password Dim procedimiento As String = “GetLogin” … Dim command As New SqlCommand(procedimiento, connection) … command.CommandType = CommandType.StoredProcedure
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET
Seguridad en aplicaciones ASP.NET

Recommandé

Presentación1
Presentación1Presentación1
Presentación1Eysin Lorenzo Delgado Mejía
 
Lotus
LotusLotus
Lotusunmsm
 
Indices y constraints en la base de datos
Indices y constraints en la base de datosIndices y constraints en la base de datos
Indices y constraints en la base de datoschasis349
 
109545688 conexion-de-sql-a-java
109545688 conexion-de-sql-a-java109545688 conexion-de-sql-a-java
109545688 conexion-de-sql-a-javaMiguel Ángel
 
nuevas etiquetas html rora!!! =)
nuevas etiquetas html rora!!! =)nuevas etiquetas html rora!!! =)
nuevas etiquetas html rora!!! =)sol2395
 
Presentación1
Presentación1Presentación1
Presentación1Chama Jessi
 
Servlet Hola Mundo con Eclipse y Tomcat
Servlet Hola Mundo con Eclipse y TomcatServlet Hola Mundo con Eclipse y Tomcat
Servlet Hola Mundo con Eclipse y Tomcatjubacalo
 
02 formulario iniciar sesion programar
02 formulario iniciar sesion programar02 formulario iniciar sesion programar
02 formulario iniciar sesion programarpompeya
 

Recommandé

Presentación1
Presentación1Presentación1
Presentación1Eysin Lorenzo Delgado Mejía
 
Lotus
LotusLotus
Lotusunmsm
 
Indices y constraints en la base de datos
Indices y constraints en la base de datosIndices y constraints en la base de datos
Indices y constraints en la base de datoschasis349
 
109545688 conexion-de-sql-a-java
109545688 conexion-de-sql-a-java109545688 conexion-de-sql-a-java
109545688 conexion-de-sql-a-javaMiguel Ángel
 
nuevas etiquetas html rora!!! =)
nuevas etiquetas html rora!!! =)nuevas etiquetas html rora!!! =)
nuevas etiquetas html rora!!! =)sol2395
 
Presentación1
Presentación1Presentación1
Presentación1Chama Jessi
 
Servlet Hola Mundo con Eclipse y Tomcat
Servlet Hola Mundo con Eclipse y TomcatServlet Hola Mundo con Eclipse y Tomcat
Servlet Hola Mundo con Eclipse y Tomcatjubacalo
 
02 formulario iniciar sesion programar
02 formulario iniciar sesion programar02 formulario iniciar sesion programar
02 formulario iniciar sesion programarpompeya
 
Sugaring the pill
Sugaring the pillSugaring the pill
Sugaring the pillRed Bernales
 
Chaz malkin top trailers
Chaz malkin top trailersChaz malkin top trailers
Chaz malkin top trailersbir
 
film poster analysis
film poster analysis film poster analysis
film poster analysisbir
 
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556Trio Advance
 
Photopdf
PhotopdfPhotopdf
PhotopdfNatalie Nagengast
 
Ongoing Project in Pune Daffodils Avenue by SMPRealty
Ongoing Project in Pune Daffodils Avenue by SMPRealty Ongoing Project in Pune Daffodils Avenue by SMPRealty
Ongoing Project in Pune Daffodils Avenue by SMPRealtySMP Realty
 
Μόνος στο σκοτάδι
Μόνος στο σκοτάδιΜόνος στο σκοτάδι
Μόνος στο σκοτάδιΜαδεμλής Αθανάσιος
 
Apresentação da instituição
Apresentação da instituiçãoApresentação da instituição
Apresentação da instituiçãoComunidades Vivas
 
SJR Blue Waters.
SJR Blue Waters.SJR Blue Waters.
SJR Blue Waters.Bangalore Prj
 
Digital Business in the 21st Century - Task 1
Digital Business in the 21st Century - Task 1Digital Business in the 21st Century - Task 1
Digital Business in the 21st Century - Task 1jamiethomasbeatty
 
靜珍工作分解表
靜珍工作分解表靜珍工作分解表
靜珍工作分解表vincent su
 
CV
CVCV
CVCristian Garcia Aguirre
 
Prezi entrega final presentación trabajo cooperativo
Prezi entrega final presentación trabajo cooperativoPrezi entrega final presentación trabajo cooperativo
Prezi entrega final presentación trabajo cooperativoAndrea Martinez
 
Bio Pharm Range
Bio Pharm RangeBio Pharm Range
Bio Pharm RangeKevin Windsor
 
Rizq-Provision
Rizq-ProvisionRizq-Provision
Rizq-ProvisionAhmad Hussain
 
Seguridades asp.Net
Seguridades asp.NetSeguridades asp.Net
Seguridades asp.NetDavid Del Castillo
 
Eliminando SQL injection
Eliminando SQL injectionEliminando SQL injection
Eliminando SQL injectionStuardo Rodriguez
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
8. Acceso A Datos Con Microsoft Ado.Net
8. Acceso A Datos Con Microsoft Ado.Net8. Acceso A Datos Con Microsoft Ado.Net
8. Acceso A Datos Con Microsoft Ado.Netguest3cf6ff
 
Conexión a sql server con c#
Conexión a sql server con c#Conexión a sql server con c#
Conexión a sql server con c#Mauricio Durán Torres
 
Practica9 bases de datos
Practica9 bases de datosPractica9 bases de datos
Practica9 bases de datosNaty Ortiz Arias
 
Practica9 bases de datos
Practica9 bases de datosPractica9 bases de datos
Practica9 bases de datosNaty Ortiz Arias
 

Contenu connexe

En vedette

Chaz malkin top trailers
Chaz malkin top trailersChaz malkin top trailers
Chaz malkin top trailersbir
 
film poster analysis
film poster analysis film poster analysis
film poster analysisbir
 
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556Trio Advance
 
Ongoing Project in Pune Daffodils Avenue by SMPRealty
Ongoing Project in Pune Daffodils Avenue by SMPRealty Ongoing Project in Pune Daffodils Avenue by SMPRealty
Ongoing Project in Pune Daffodils Avenue by SMPRealtySMP Realty
 
Apresentação da instituição
Apresentação da instituiçãoApresentação da instituição
Apresentação da instituiçãoComunidades Vivas
 
Digital Business in the 21st Century - Task 1
Digital Business in the 21st Century - Task 1Digital Business in the 21st Century - Task 1
Digital Business in the 21st Century - Task 1jamiethomasbeatty
 
靜珍工作分解表
靜珍工作分解表靜珍工作分解表
靜珍工作分解表vincent su
 
Prezi entrega final presentación trabajo cooperativo
Prezi entrega final presentación trabajo cooperativoPrezi entrega final presentación trabajo cooperativo
Prezi entrega final presentación trabajo cooperativoAndrea Martinez
 

En vedette (15)

Sugaring the pill
Sugaring the pillSugaring the pill
Sugaring the pill
 
Chaz malkin top trailers
Chaz malkin top trailersChaz malkin top trailers
Chaz malkin top trailers
 
film poster analysis
film poster analysis film poster analysis
film poster analysis
 
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556
ประกาศรายชื่อ PreScreen TG วันที่ 1เมษายน 2556
 
Photopdf
PhotopdfPhotopdf
Photopdf
 
Ongoing Project in Pune Daffodils Avenue by SMPRealty
Ongoing Project in Pune Daffodils Avenue by SMPRealty Ongoing Project in Pune Daffodils Avenue by SMPRealty
Ongoing Project in Pune Daffodils Avenue by SMPRealty
 
Μόνος στο σκοτάδι
Μόνος στο σκοτάδιΜόνος στο σκοτάδι
Μόνος στο σκοτάδι
 
Apresentação da instituição
Apresentação da instituiçãoApresentação da instituição
Apresentação da instituição
 
SJR Blue Waters.
SJR Blue Waters.SJR Blue Waters.
SJR Blue Waters.
 
Digital Business in the 21st Century - Task 1
Digital Business in the 21st Century - Task 1Digital Business in the 21st Century - Task 1
Digital Business in the 21st Century - Task 1
 
靜珍工作分解表
靜珍工作分解表靜珍工作分解表
靜珍工作分解表
 
CV
CVCV
CV
 
Prezi entrega final presentación trabajo cooperativo
Prezi entrega final presentación trabajo cooperativoPrezi entrega final presentación trabajo cooperativo
Prezi entrega final presentación trabajo cooperativo
 
Bio Pharm Range
Bio Pharm RangeBio Pharm Range
Bio Pharm Range
 
Rizq-Provision
Rizq-ProvisionRizq-Provision
Rizq-Provision
 

Similaire à Seguridad en aplicaciones ASP.NET

Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
8. Acceso A Datos Con Microsoft Ado.Net
8. Acceso A Datos Con Microsoft Ado.Net8. Acceso A Datos Con Microsoft Ado.Net
8. Acceso A Datos Con Microsoft Ado.Netguest3cf6ff
 
Php y my sql con manejo de sesiones
Php y my sql con manejo de sesionesPhp y my sql con manejo de sesiones
Php y my sql con manejo de sesionescapo1988
 
CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11
CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11
CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11Miguel Angel
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 
Desarrollo de práctica para un modelo de tres capas
Desarrollo de práctica para un modelo de tres capasDesarrollo de práctica para un modelo de tres capas
Desarrollo de práctica para un modelo de tres capasNelson Salinas
 
P R A C T I C A
P R A C T I C AP R A C T I C A
P R A C T I C ADanica M
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysqlI LG
 
LABORATORIO DE PROGRAMACIÓN I.
LABORATORIO DE PROGRAMACIÓN I.LABORATORIO DE PROGRAMACIÓN I.
LABORATORIO DE PROGRAMACIÓN I.SILVA19_PAMELA
 
Tutoria Lenguaje C++
Tutoria Lenguaje C++Tutoria Lenguaje C++
Tutoria Lenguaje C++ruth_reategui
 

Similaire à Seguridad en aplicaciones ASP.NET (20)

Seguridades asp.Net
Seguridades asp.NetSeguridades asp.Net
Seguridades asp.Net
 
Eliminando SQL injection
Eliminando SQL injectionEliminando SQL injection
Eliminando SQL injection
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
 
8. Acceso A Datos Con Microsoft Ado.Net
8. Acceso A Datos Con Microsoft Ado.Net8. Acceso A Datos Con Microsoft Ado.Net
8. Acceso A Datos Con Microsoft Ado.Net
 
Conexión a sql server con c#
Conexión a sql server con c#Conexión a sql server con c#
Conexión a sql server con c#
 
Practica9 bases de datos
Practica9 bases de datosPractica9 bases de datos
Practica9 bases de datos
 
Practica9 bases de datos
Practica9 bases de datosPractica9 bases de datos
Practica9 bases de datos
 
Php y my sql con manejo de sesiones
Php y my sql con manejo de sesionesPhp y my sql con manejo de sesiones
Php y my sql con manejo de sesiones
 
CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11
CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11
CONECTAR C# CON POSTGRESQL USANDO NPGSQL 2.0.11
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
 
Julissa huaman hilari
Julissa huaman hilariJulissa huaman hilari
Julissa huaman hilari
 
Desarrollo de práctica para un modelo de tres capas
Desarrollo de práctica para un modelo de tres capasDesarrollo de práctica para un modelo de tres capas
Desarrollo de práctica para un modelo de tres capas
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
 
P R A C T I C A
P R A C T I C AP R A C T I C A
P R A C T I C A
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysql
 
LABORATORIO DE PROGRAMACIÓN I.
LABORATORIO DE PROGRAMACIÓN I.LABORATORIO DE PROGRAMACIÓN I.
LABORATORIO DE PROGRAMACIÓN I.
 
OBJETO SQLCOMMAND.
OBJETO SQLCOMMAND.OBJETO SQLCOMMAND.
OBJETO SQLCOMMAND.
 
Tutoria Lenguaje C++
Tutoria Lenguaje C++Tutoria Lenguaje C++
Tutoria Lenguaje C++
 
Manual basico de_postgre_sql
Manual basico de_postgre_sqlManual basico de_postgre_sql
Manual basico de_postgre_sql
 

Dernier

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 

Dernier (13)

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 

Seguridad en aplicaciones ASP.NET

  • 1.
  • 2.
  • 3.
  • 4. Dim queryString As String = _ "SELECT * FROM users WHERE username = ‘” & Me.user.text & ”’ AND password = ‘” & Me.pass.text & ”’;“ Using connection As New SqlConnection(connectionString) connection.Open() Dim command As New SqlCommand(queryString, connection) Dim reader As New SqlDataReader = command.ExecuteReader() If reader.Read() then result.text = “Bienvenido ” & reader(0) Else result.text = “No se pudologuear!” End if connection.Close() End Using
  • 5. No hay validación del contenido de la información Los usuarios pueden escribir cualquier cosa!
  • 6. ‘ OR 1 = 1 -- SELECT * FROM usuarios WHERE username = ‘’ OR 1 = 1 --’ AND password = ‘cualquiercosa’;“ ‘; INSERT INTO usuarios VALUES(‘TuUsuario', ‘TuPassword') -- SELECT * FROM usuarios WHERE username = ‘‘; INSERT INTO usuarios VALUES(‘TuUsuario', ‘TuPassword') --’ AND password = ‘cualquiercosa’;“ ‘; DROP TABLE usuarios -- SELECT * FROM usuarios WHERE username = ‘‘; DROP TABLE usuarios -- ’ AND password = ‘cualquiercosa’;“
  • 7. Evitar la concatenación de variables con sentencias SQL Hacer validaciones fuertes y exhaustivas Desconfiar de lo que los usuarios escriben Apoyarse con las herramientas que provee ASP
  • 8. Dimquery As String = “SELECT * FROM usuarios WHERE username = @user AND password = @pass;” … DimuserParameter As New SqlParameter(“@user”, SqlDbType.NVarChar, 25) WithuserParameter .Value = Me.user.text EndWith Command.Parameters.Add(userParameter) ‘mismo procedimiento para @pass …
  • 9. CREATE PROCEDURE dbo.GetLogin( @usernamevarchar(25), @passwordvarchar(25) ) AS SELECT * FROM usuarios WHERE username = @username AND password = @password Dim procedimiento As String = “GetLogin” … Dim command As New SqlCommand(procedimiento, connection) … command.CommandType = CommandType.StoredProcedure