Tema: Comparar un campo de usuario y password.
Ver Mensaje Individual
  #5  
Antiguo 11-03-2005
Avatar de roman
roman roman is offline
Moderador
  
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Reputación: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Cita:
Empezado por maguib
'select * from Tabla where usuario='+chr(39)+Edit1.text+chr(39)+' and password='+chr(39)+Edit2.text+chr(39)+''
Hay que tener un poco de cuidado con este tipo de consultas. Suponte que el usuario escribe:

Edit1: roman
Edit2: ' or '1'='1 (con todo y apóstrofes)

La consulta queda así:

select * from Tabla where usuario='roman' and password='' or '1'='1'

Como '1' siempre es igual a '1', cualquiera que sepa mi nombre de usuario podrá entrar. Por ello es más seguro como propone @-Soft; primero buscas al usuario y luego comparas las contraseñas.

Más seguro aún sería guardar la contraseña encriptada y compararla con la encriptación del password que escribe el usuario.

// Saludos
Responder Con Cita