Validar los datos introducidos por el usuario
Cuando construya una aplicación que tiene acceso a datos, debería suponer que todos los datos proporcionados por el usuario son malintencionados hasta que se demuestre lo contrario. Si no lo hace, la aplicación puede quedar en una situación de vulnerabilidad frente a ataques. Un tipo de ataque que puede producirse se denomina inyección de SQL, que consiste en que se agrega código dañino a cadenas que se pasan después a una instancia de SQL Server para analizarse y ejecutarse. Para evitar este tipo de ataque, debería utilizar procedimientos almacenados con parámetros cuando sea posible y validar siempre los datos que proporcione el usuario.
Validar los datos que proporciona el usuario en el código cliente es importante para no malgastar viajes de ida y vuelta al servidor. Es igualmente importante validar los parámetros para los procedimientos almacenados en el servidor con el fin de detectar las entradas que no son válidas y que omiten la validación en el lado cliente.
Para obtener más información acerca de la inyección de SQL y cómo evitarla, vea "Inyección de SQL" en Libros en pantalla de SQL Server 2005. Para obtener más información sobre cómo validar los parámetros de los procedimientos almacenados, vea "Procedimientos almacenados (Motor de base de datos)" y otros temas secundarios en los Libros en pantalla SQL Server 2005.