Validación de los datos proporcionados por el usuario
Cuando construya una aplicación que tiene acceso a datos, debería suponer que todos los datos proporcionados por el usuario son malintencionados hasta que se demuestre lo contrario. De no ser así, la aplicación puede estar expuesta a ataques. Un tipo de ataque que puede producirse se denomina inyección de SQL. Este ataque es donde se agrega código malintencionado a cadenas que se pasan a una instancia de SQL Server para su análisis y ejecución. Para evitar este tipo de ataque, debería utilizar procedimientos almacenados con parámetros cuando sea posible y validar siempre los datos que proporcione el usuario.
Validar los datos que proporciona el usuario en el código cliente es importante para no malgastar recorridos de ida y vuelta al servidor. Es igualmente importante validar los parámetros de los procedimientos almacenados en el servidor. De este modo se detecta la entrada que omite la validación del lado cliente.
Para más información sobre la inyección de código SQL y cómo evitarla, consulte Inyección de código SQL. Para más información sobre la validación de parámetros de procedimientos almacenados, consulte Procedimientos almacenados y los artículos relacionados.
Consulte también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de