Cita:
Empezado por maguib
'select * from Tabla where usuario='+chr(39)+Edit1.text+chr(39)+' and password='+chr(39)+Edit2.text+chr(39)+''
|
Hay que tener un poco de cuidado con este tipo de consultas. Suponte que el usuario escribe:
Edit1: roman
Edit2: ' or '1'='1 (con todo y apóstrofes)
La consulta queda así:
select * from Tabla where usuario='roman' and password='' or '1'='1'
Como '1' siempre es igual a '1', cualquiera que sepa mi nombre de usuario podrá entrar. Por ello es más seguro como propone @-Soft; primero buscas al usuario y luego comparas las contraseñas.
Más seguro aún sería guardar la contraseña encriptada y compararla con la encriptación del password que escribe el usuario.
// Saludos