Gothic Armor nos comentaba un dia en es.comp.bd.misc, y con tan sabias
palabras, nos enseño la luz:

> 1.- ¨El PHP est***, por lo tanto, protegido por defecto contra la Inyecci¢n?

Más bien no. PHP intenta establecer una forma de identificar los caracteres,
como \n.

> 2.- Una inyecci¢n del tipo: <'; delete from nombretabla; --> a£n tiene
> sentido, ya que quedar¡a: WHERE usuario = '\'; delete from nombretabla;
> -- AND contrase¤a = ''>. Sin embargo el MySQL lo bloquea, ¨significa eso
> que MySQL solo ejecuta una consulta cada vez?

Si quieres hacer un sql injection tendria mas sentido usar "' OR 1=1 or 1='".
De esta forma te aseguras la condición a true.


> 3.- ¨Esta vulnerabilidad s¢lo est*** presente en ASP contra MS SQL SERVER?
> ¨Se evitar¡a con la sustituci¢n de <'> por <\'> como en PHP?

Vamos a ver, que tienes un cacao de cuidado. El SQL Injection es una tecnica,
para la cual necesitas un SGBD y una pantalla o un campo donde hacerlo. Eso
quiere decir que funciona con cualquier SGBD y con cualquier lenguaje.

Lex


--
Press Play Then Any Key
http://www.pressplaythenanykey.com/

FAQ de es.comp.lenguajes.php:
http://www.pclandia.net/escomplenguajesphp
http://faq.guatemalanetworks.com

Mi Freeware:
http://www.pclandia.net/lexsparrow/