Forum: ADO.NET |
Thema:
Re: SQL erzeugen? |
Von:
Hannes Preishuber (
23.05.2005 13:35) |
Thomas, mit verlaub, das ist Blödsinn
http://weblogs.asp.net/hpreishuber/archive/2004/04/30/123901.aspx
Das Motto muss lauten, alles verbieten und nur das erlauben was man braucht.
Also NICHT REPLACE verwenden und sicher fühlen
-Hannes
Betreff |
Von |
Datum |
|
|
Re: SQL erzeugen?
Tja, wie er schon gepostet hat "you never know, what you dont know" :-)<br><br>Und wieder was gelernt ... :-)<br><br>Danke Hannes ... da hatte ich bis dato wohl immer Glück. |
|
|
|
|
|
Thomas
Golla
|
23.05.2005 14:15 |
|
|
Re: SQL erzeugen?
Eine Sache interessiert mich aber noch ... <br>Wenn ich dies habe:<br>"select * from a where b = '" & c.replace("'","''") & "'"<br><br>welche syntax muss in c stehen damit ein sql-injenction erfolg hat und... |
|
|
|
|
|
Thomas
Golla
|
24.05.2005 11:12 |
|
|
Re: SQL erzeugen?
Hallo Leute,<br><br>das beste, um SQL Injection entgegen zu wirken, sind doch wohl Parameter, die man immer verwenden sollte, oder sehe ich das falsch ?<br><br>Wie z.B.<br>SELECT * FROM a <br>WHERE b = @p_b<br>AND ... |
|
|
|
|
|
G.
Guest
|
02.06.2005 16:14 |
|
|
Antworten
Vorsicht bei der Eingabe: Die Zeichen ' oder -- sind nicht erlaubt!