Underc0de - Hacking y seguridad informática

Programación Web => Zona Webmaster => Mensaje iniciado por: @ed33x en Febrero 02, 2011, 02:04:28 pm

Título: [ASP.NET] Comillas simples y bases de datos
Publicado por: @ed33x en Febrero 02, 2011, 02:04:28 pm
Uno de los problemas mas ti­picos con el que se enfrenta todo programador ASP, especialmente al principio, es como aceptar comillas simples (') en una sentencia SQL.

Pues es muy sencillo, para aceptar una comilla simple hay que escaparla, poniendo 2. Igual que cuando queremos escribir una comilla doble en un Response.Write ponemos dos seguidas.

Si estas recogiendo los datos desde un formulario por ejemplo, un pequeño uso de Replace nos hara esto:

Código: ASP
  1. <%
  2. Dim texto, num
  3.  
  4. num = 5
  5. texto = Request.Form("Texto")
  6. texto = Replace(texto, "'", "''")
  7. SQL="INSERT INTO Tabla (Texto, Numero) VALUES (" & texto & ", " & num &")"
  8. ...
  9. %>

Muy sencillo. Replace acepta como primer argumento la cadena donde se va a reemplazar, como segundo la cadena a buscar y como tercer la cadena de reemplazo. Asi­ que ponemos como segundo argumento una comilla simple y como tercer dos comillas simples juntas (ambos entre comillas dobles, claro).


Fuente:aspfacil.com