none
VbScript: Concatenar un parametro a un script sql RRS feed

  • Pregunta

  • Buenos dias.

    Estoy tratando de concatenar un parametro enviado de una pagina html con la siguiente sintaxis:

    SQL =""SELECT * FROM Predio WHERE prdConsec = " & %predio%". La variable predio viene de una pagina html y tengo problemas con la concatenación para ejecutarla en una pagina xxx.asp  No es problema de la base de datos sino de sintaxis.

    Muchas gracias por su colaboracion. Elkin.

    • Cambiado EricRR miércoles, 27 de enero de 2021 17:51 SQL
    miércoles, 27 de enero de 2021 16:38

Todas las respuestas

  • Si el campo de la base de datos es numérico, sería así:

    SQL =""SELECT * FROM Predio WHERE prdConsec = " & %predio%

    Mientras que si es de tipo String es así:

    SQL =""SELECT * FROM Predio WHERE prdConsec = '" & %predio% & "'"

    PERO: Muchísimo cuidado con esto. Es vulnerable ante ataques de inyección de SQL. Esto significa que si desde la página te envían dentro de %predio% un fragmento de SQL, pueden ejecutar dicho SQL contra tu base de datos, con consecuencias posiblemente catastróficas. Cerciórate de que validas el contenido de la variable antes de concatenarla en la sentencia SQL.

    miércoles, 27 de enero de 2021 17:42