|
|
|
|
|
|
|
|
Dicas
|
|
|
Visual Basic (Banco de Dados)
|
|
 |
Título da Dica: Cuidado com SQL
|
 |
|
|
|
Postada em 11/8/2003 por [_Chuck_]
MayconMaia@uol.com.br
Se você tem um sistema que utiliza uma validação de usuário em uma tabela com o SQL, tome muito cuidado com o seguinte furo...
se por acaso a consulta for a seguinte:
"SELECT * FROM usuario WHERE Nome = '" & senha.text & "'"
Procure filtrar os dados inseridos pelo usuário pq se o malandro tiver vagos conhecimentos em SQL poderia digitar algo como:
' or '|
na caixa de texto e adivinhem como é que fica...
"SELECT * FROM usuario WHERE nome = '' or '|'"
o que isso quer dizer???
esta consulta selecionara o usuario que for tiver com o campo nome fazio("") or que seja verdadeiro("|" --> o caracter turbo em informática quer dizer verdadeiro). ou seja ele pegara o primeiro usuário da tabela...
para evitar isso filtre o campo verificando se tem caracteres curingar(*, ?, .) impedido que este erro fatal(dependendo do tipo de programa) aconteça...
HHHaaaa.. Só pra lembrar, este não é um erro do VB, e sim um furo na SQL, ou seja, se não for feito as verificações necessárias, isso tambem funcionará em aplicações feitas em Delphi e tambem em páginas de internet...
Falô galera, e fique espertos...
|
|
|
|
|
