SQL Injection x ADODB.Parameters

[Iceguy]

Vejo muita gente fazendo umas rotinas enormes de tratamento de strings pra prevenir SQL Injection, mas eu sempre usei ADODB.Parameters e até então nunca tive problemas. ADODB.Parameters protege de SQL Injection? Se não, onde é a falha?

[bareta]

não tem função contra sql injection não, se sua conexão executa coisas direto de querystrings ou forms tem que tratar.

posso ta falando bobeira, mais pelo que testei o access não deixa usar sql injection. já o mysql aceita ^^

[Iceguy]

Access aceita, se tu colocar usuário admin e senha x' OR 'x'='x e o cara jogar o valor direto na string da sql o invasor acessa com privilégios de admin (normalmente o pessoal coloca usuário admin)

A questão é que se eu criar por exemplo um ADODB.Parameter e disser que eçe é um texto de 20 caracteres, e jogar lá dentro SQL Injection, e esse parâmetro for parte de uma consulta por exemplo, o parâmetro em si garante pra você que vai entrar texto, você não precisa dar replace num monte de coisa. Posso colocoar esse x' OR 'x'='x no campo que se o código tratar como parameter ele não funciona como injection.

Acho que única falha (achei ontem) é em stored procedure que execute qualquer coisa que vier, daí mesmo como parâmeter ele zoa com tudo