Forum: ADO.NET |
Thema:
Re: SQL erzeugen? |
Von:
Thomas Golla (
23.05.2005 11:09) |
Ergänzend möchte ich hinzufügen das man Replace("'","''") nutzen sollte (man ist vor SQL-Injection sicherer und der Nutzer kann dann auch das ' in seinem PWD oder Loginnamen (oder was auch immer) nutzen) :-)
SQL="SELECT * FROM Tabelle1 WHERE suche1='" & me.text1.text.Replace("'","''") & "' AND suche2='" & me.text2.text.Replace("'","''") & "' AND ....
LG
Tom
Betreff |
Von |
Datum |
|
|
Re: SQL erzeugen?
Thomas, mit verlaub, das ist Blödsinn<br><br>http://weblogs.asp.net/hpreishuber/archive/2004/04/30/123901.aspx<br><br>Das Motto muss lauten, alles verbieten und nur das erlauben was man braucht.<br>Also NICHT... |
|
|
|
|
|
Hannes
Preishuber
|
23.05.2005 13:35 |
|
|
Re: SQL erzeugen?
Tja, wie er schon gepostet hat "you never know, what you dont know" :-)<br><br>Und wieder was gelernt ... :-)<br><br>Danke Hannes ... da hatte ich bis dato wohl immer Glück. |
|
|
|
|
|
Thomas
Golla
|
23.05.2005 14:15 |
|
|
Re: SQL erzeugen?
Eine Sache interessiert mich aber noch ... <br>Wenn ich dies habe:<br>"select * from a where b = '" & c.replace("'","''") & "'"<br><br>welche syntax muss in c stehen damit ein sql-injenction erfolg hat und... |
|
|
|
|
|
Thomas
Golla
|
24.05.2005 11:12 |
|
|
Re: SQL erzeugen?
Hallo Leute,<br><br>das beste, um SQL Injection entgegen zu wirken, sind doch wohl Parameter, die man immer verwenden sollte, oder sehe ich das falsch ?<br><br>Wie z.B.<br>SELECT * FROM a <br>WHERE b = @p_b<br>AND ... |
|
|
|
|
|
G.
Guest
|
02.06.2005 16:14 |
|
|
Antworten
Vorsicht bei der Eingabe: Die Zeichen ' oder -- sind nicht erlaubt!