Hola @rbarriae , muchas gracias por la pregunta, es muy interesante. Efectivamente, tal y como se explica en el video, sería posible realizar una inyección SQL, no se ha explicado porque el objetivo era ver esta forma de trabajar con WebAPI, pero lo vamos a ver en el siguiente video, que ejecuta procedimientos almacenados. Para utilizar esta metodología en producción sería recomendable incluir alguna otra técnica (como por ejemplo, como vimos en un video anterior, utilizar un token, y validarlo antes de ejecutar cualquier consulta -es lo que personalmente hago, utilizar el token siempre como primer parámetro, antes del nombre-). Respecto a la inyección, hay varias formas de validar la consulta SQL antes de ejecutarla. Un primer paso podría ser comprobar que parametros no tenga el carácter comilla simple. Hay otras técnicas para securizar la consulta antes de lanzarla al servidor, como por ejemplo pasar los parámetros utilizando SqlCommand.Parameters.Add(valor). Más adelante podemos crear un video para ver esto, aunque en el de procedimientos almacenado que será el siguiente lo haremos así. Muchas gracias.
Otra forma de evitar la inyección SQL en el caso del ejemplo es que, en lugar de llamar al método de la capa de acceso a datos GetTmpDataTable, llamar a GetDataTable, que recibe los parámetros como un array y los va montando en la forma que Microsoft recomienda para estos casos (con cmd.Parameters.Add). Para ello habría que ajustar el formato de la cadena parametros, y de esta forma se evitaría la inyección. Gracias
Hola de nuevo, he publicado un video donde se indica como evitar la inyección maliciosa de SQL (ruclips.net/video/Rvo1xv6ZzqI/видео.html&ab_channel=ManuelToscanoDEV), espero te sea de utilidad. Muchas gracias otra vez.
![BLACK BAG - Official Trailer [HD] - Only in Theaters March 14](http://i.ytimg.com/vi/Du0Xp8WX_7I/mqdefault.jpg)
Muy interesante. Aunque me quedó una duda: ¿no habrá problemas con las inyecciones de SQL malicioso?
Saludos!!
Hola @rbarriae , muchas gracias por la pregunta, es muy interesante. Efectivamente, tal y como se explica en el video, sería posible realizar una inyección SQL, no se ha explicado porque el objetivo era ver esta forma de trabajar con WebAPI, pero lo vamos a ver en el siguiente video, que ejecuta procedimientos almacenados. Para utilizar esta metodología en producción sería recomendable incluir alguna otra técnica (como por ejemplo, como vimos en un video anterior, utilizar un token, y validarlo antes de ejecutar cualquier consulta -es lo que personalmente hago, utilizar el token siempre como primer parámetro, antes del nombre-). Respecto a la inyección, hay varias formas de validar la consulta SQL antes de ejecutarla. Un primer paso podría ser comprobar que parametros no tenga el carácter comilla simple. Hay otras técnicas para securizar la consulta antes de lanzarla al servidor, como por ejemplo pasar los parámetros utilizando SqlCommand.Parameters.Add(valor). Más adelante podemos crear un video para ver esto, aunque en el de procedimientos almacenado que será el siguiente lo haremos así. Muchas gracias.
Otra forma de evitar la inyección SQL en el caso del ejemplo es que, en lugar de llamar al método de la capa de acceso a datos GetTmpDataTable, llamar a GetDataTable, que recibe los parámetros como un array y los va montando en la forma que Microsoft recomienda para estos casos (con cmd.Parameters.Add). Para ello habría que ajustar el formato de la cadena parametros, y de esta forma se evitaría la inyección. Gracias
Hola de nuevo, he publicado un video donde se indica como evitar la inyección maliciosa de SQL (ruclips.net/video/Rvo1xv6ZzqI/видео.html&ab_channel=ManuelToscanoDEV), espero te sea de utilidad. Muchas gracias otra vez.