| From: | Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org> |
|---|---|
| To: | jsgarcia(at)seguridad(dot)unam(dot)mx |
| Cc: | pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: Funciones con argumentos vacíos |
| Date: | 2009-06-03 17:05:25 |
| Message-ID: | 20090603170525.GK7172@alvh.no-ip.org |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
jsgarcia(at)seguridad(dot)unam(dot)mx escribió:
> Gracias Álvaro por la respuesta, en un momento más probaré. Quisiera
> pedirte como un gran favor que me platicaras por qué no debería usar una
> función para un insert. Esto me lo han pedido aqui,
Porque no tiene ningún propósito ... ?
> argumentando una mayor seguridad con el fnde evitar por ejemplo SQL
> Injection.
Absurdo. Se puede hacer una inyección de SQL en un llamado a función
también. Necesitas protegerte de estos casos _antes_ de pasarle
cualquier cosa a la BD, independiente de si es un INSERT o un llamado a
función.
> Podrías aconsejarme algo???
"No creas todo lo que te digan" ¿sirve?
--
Alvaro Herrera http://www.advogato.org/person/alvherre
"Use it up, wear it out, make it do, or do without"
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Giorgio PostgreSQL | 2009-06-03 17:10:35 | Herramienta para migrar de SQL Server a PostgreSQL |
| Previous Message | jsgarcia | 2009-06-03 17:03:01 | Re: Funciones con argumentos vacíos |