Blog Ascariz Web 2.0 » SQL Server http://blog.ascariz.es Programación Web ASP, PHP, ASP.NET, Diseño y IPhone Fri, 27 Aug 2010 11:27:16 +0000 http://wordpress.org/?v=2.8.5 en hourly 1 SQL Server Campo Like ‘%’ + @parametro http://blog.ascariz.es/index.php/2010/03/22/sql-server-campo-like-parametro/ http://blog.ascariz.es/index.php/2010/03/22/sql-server-campo-like-parametro/#comments Mon, 22 Mar 2010 15:02:04 +0000 Ascariz http://blog.ascariz.es/?p=1619 Como conseguin en un procedimiento almacenada buscar con un LIKE y parametros con el cararcter ‘%’, tienen que ser una variable varchar.

En el procedimiento FindEmployee, no se devuelven filas porque la variable char (@EmpLName) contiene
espacios al final cuando el nombre tiene menos de 20 caracteres. Debido a que la columna LastName es de tipo varchar, no hay espacios al final. Este procedimiento no funciona porque los espacios al final son significativos.

Sin embargo, el siguiente ejemplo funciona porque no se agregan espacios al final en la variable varchar:

USE AdventureWorks;
GO
CREATE PROCEDURE FindEmployee @EmpLName varchar(20)
AS
SELECT @EmpLName = RTRIM(@EmpLName) + ‘%’;
SELECT c.FirstName, c.LastName, a.City
FROM Person.Contact c JOIN Person.Address a ON c.ContactID = a.AddressID
WHERE c.LastName LIKE @EmpLName;
GO
EXEC FindEmployee @EmpLName = ‘Barb’;

]]> http://blog.ascariz.es/index.php/2010/03/22/sql-server-campo-like-parametro/feed/ 0 Campos NULL en ASP.NET y VB.NET + SQL Server http://blog.ascariz.es/index.php/2008/12/18/campos-null-en-aspnet-y-vbnet-sql-server/ http://blog.ascariz.es/index.php/2008/12/18/campos-null-en-aspnet-y-vbnet-sql-server/#comments Thu, 18 Dec 2008 16:49:13 +0000 admin http://blog.ascariz.es/?p=693 Estos días estado intentando insertar un valor NULL en Base de datos “BBDD” sql server, pero me insertaba 01/01/19000 que es la fecha de inicio pero buscando en libros, internet y preguntado un poquito resolvi lo de insertar campos null en programacón ASP.NET y VB.NET con esté código fuente y es muy sencillo de utilizar. dentro de unos días lo tendreis en C#.NET


Imports System.Data 

Imports System.Data.SqlClient
Imports System.Data.SqlTypes
Imports System.Data.SqlClient.SqlDataReader

 sql_upd = ” UPDATE …”

cmd.CommandText = sql_upd
cmd.Connection = con
cmd.Parameters.Add(“@PrecioAhorroEs”, SqlDbType.Float) 

 If PrecioEs = “” Then
    cmd.Parameters(“@precioespana”).Value = DBNull.Value
Else
    cmd.Parameters(“@precioespana”).Value = PrecioEs
End If
]]> http://blog.ascariz.es/index.php/2008/12/18/campos-null-en-aspnet-y-vbnet-sql-server/feed/ 1 SQL Update, ASP, PHP, VB.NET y C#NET – Actualización de BBDD http://blog.ascariz.es/index.php/2008/11/07/update-sql-actualizacion-de-bbdd/ http://blog.ascariz.es/index.php/2008/11/07/update-sql-actualizacion-de-bbdd/#comments Fri, 07 Nov 2008 16:21:12 +0000 admin http://blog.ascariz.es/?p=413 Para la actualización de datos SQL dispone de la sentencia UPDATE. La sentencia UPDATE permite la actualización de uno o varios registros de una única tabla. La sintaxis de la sentencia UPDATE es la siguiente

UPDATE <nombre_tabla>
SET  <campo1> = <valor1>
        {[,<campo2> = <valor2>,...,<campoN> = <valorN>]}
[ WHERE <condicion>];


Las siguientes sentencias actualizan los datos de la tabla tCoches con los valores de la tabla tMarca obtenidos anteriormente en la página dedicada a la inserción de datos.

UPDATE tCochesSET marca = ‘1′WHERE marca = ‘FORD’;
UPDATE tCochesSET marca = ‘2′WHERE marca = ‘RENAULT’;
UPDATE tCochesSET marca = ‘3′WHERE marca = ‘SEAT’;

Notese que los valores para el campo marca aparecen entrecomillados, ya que es un campo de tipo varchar. Los valores con los que actualicemos los datos deben ser del tipo del campo.

Un aspecto a tener en cuenta es que los campos que forman la primary key de una tabla sólo se podrán modificar si los registros no están referenciados en ninguna otra tabla. En nuestro caso sólo podremos modificar la matrícula de un coche si no tiene registros asociados en la tabla tAlquileres.

]]> http://blog.ascariz.es/index.php/2008/11/07/update-sql-actualizacion-de-bbdd/feed/ 0 SQL Server connection strings http://blog.ascariz.es/index.php/2008/09/15/sql-server-connection-strings/ http://blog.ascariz.es/index.php/2008/09/15/sql-server-connection-strings/#comments Mon, 15 Sep 2008 20:38:03 +0000 admin http://blog.ascariz.es/?p=73 La conexiones que les voy a mostrar son en dos lenguajes ASP y .NET, bajo una Base de datos “BBDD” Sql Server, eso si da lo mismo que a un SQL Server 2000 ó superior.

SQL ODBC connection strings
Standard Security:
“Driver=SQLServer};Server=Your_Server_Name;Database=Your_Database_Name;Uid=Your_Username;Pwd=Your_Password;”
Trusted connection:
“Driver=SQLServer};Server=Your_Server_Name;Database=Your_Database_Name;Trusted_Connection=yes;”
SQL OLE DB connection strings

Standard Security:

“Provider=SQLOLEDB;Data Source=Your_Server_Name;Initial Catalog= Your_Database_Name;UserId=Your_Username;Password=Your_Password;”

Trusted connection:

“Provider=SQLOLEDB;Data Source=Your_Server_Name;Initial Catalog=Your_Database_Name;Integrated Security=SSPI;”

SQL OleDbConnection .NET strings

Standard Security:

“Provider=SQLOLEDB;Data Source=Your_Server_Name;Initial Catalog= Your_Database_Name;UserId=Your_Username;Password=Your_Password;”

Trusted connection:

“Provider=SQLOLEDB;Data Source=Your_Server_Name;Initial Catalog=Your_Database_Name;Integrated Security=SSPI;”

SQL SqlConnection .NET strings

Standard Security:

1. “Data Source=Your_Server_Name;Initial Catalog= Your_Database_Name;UserId=Your_Username;Password=Your_Password;”

2. “Server=Your_Server_Name;Database=Your_Database_Name;UserID=Your_Username;
Password=Your_Password;Trusted_Connection=False”

Trusted connection:

1. “Data Source=Your_Server_Name;Initial Catalog=Your_Database_Name;Integrated Security=SSPI;”
2. “Server=Your_Server_Name;Database=Your_Database_Name;Trusted_Connection=True;”

]]> http://blog.ascariz.es/index.php/2008/09/15/sql-server-connection-strings/feed/ 2 Inyección Sql / Sql Injection http://blog.ascariz.es/index.php/2008/09/14/inyeccion-sql-sql-injection/ http://blog.ascariz.es/index.php/2008/09/14/inyeccion-sql-sql-injection/#comments Sat, 13 Sep 2008 22:10:31 +0000 admin http://blog.ascariz.es/?p=17 La inyección SQL sucede cuando un desarrollador acepta la entrada del usuario que está directamente colocado en una sentencia SQL y no filtrar adecuadamente los caracteres peligrosos. Esto puede permitir a un usuario malintencionado poner en peligro no sólo robar los datos de su base de datos, sino también modificar y borrar. Algunos servidores SQL como Microsoft SQL Server contienen procedimientos almacenados y ampliada Procedimientos (funciones de servidor de bases de datos).

Si un atacante puede obtener acceso a estos procedimientos puede ser posible poner en peligro a toda la máquina. Los atacantes comúnmente único qoutes insertar una URL en la cadena de consulta, o en un campo de introducción de formas para la prueba de inyección SQL. Si un atacante recibe un mensaje de error como la siguiente hay una buena probabilidad de que la aplicación es vulnerable a inyección SQL.

Como se puede Evitar en ASP:

Function FUN_SeguridadSQL(Cadena)
Cadena = Lcase(Cadena)
Cadena = replace(Cadena,”delete”,”")
Cadena = replace(Cadena,”update”,”")
Cadena = replace(Cadena,”select”,”")
Cadena = replace(Cadena,”drop”,”")
Cadena = replace(Cadena,”create”,”")
Cadena = replace(Cadena,”union”,”")
Cadena = replace(Cadena,”from”,”")
Cadena = replace(Cadena,”where”,”")
Cadena = replace(Cadena,”@”,”")
Cadena = replace(Cadena,” or “,”")
Cadena = replace(Cadena,” and “,”")
Cadena = replace(Cadena,”‘”,”")
Cadena = replace(Cadena,”%”,”")
Cadena = replace(Cadena,”&”,”")
Cadena = replace(Cadena,”+”,”")
Cadena = replace(Cadena,”-”,”")
Cadena = replace(Cadena,”=”,”")
Cadena = replace(Cadena,”*”,”")
FUN_SeguridadSQL = Cadena

End Function

]]> http://blog.ascariz.es/index.php/2008/09/14/inyeccion-sql-sql-injection/feed/ 0