[Lecturas Recomendadas] - 20080417
- El pasado nazi de la antorcha olímpica, que cosas tiene la historia !
No Puedo Creer Que Lo Hayan Inventado
- Juega al tetris a pulsos, el juego definitivo !
- Inyección SQL en aplicaciones Web (I). Imprescindible. De ahí resaltar una vez más la utilización de páginas de error personalizadas, la elección correcta del nombre de las tablas y foreign keys y constrains.
- Evitar Inyección SQL (II). Siempre validar en el lado del servidor y utilizar PreparedStatement.
- Preventing SQL Injection in Java, con JDBC, iBATIS e Hibernate.
yoyoooyoy dijo
6 de May del 2008 a las 2:59 pm
El operador ‘$’ se utiliza para concatenar cadenas para formar la sentencia SQL. Por tanto, al utilizarlo la sentencia SQL es susceptible de ser manipulada por un usuario malicioso:
El operador ‘#’ se utiliza para insertar un parámetro en la sentencia SQL, y por tanto nos protege contra este tipo de ataques.
Más en iBATIS in Action, 2007 (CapÃtulo 4)