Ich baue relativ häufig meine Statements dynamisch zusammen, da man
sonst meines Wissens nach
keine Spaltennamen usw. bei den Zugriffen per Variable ansprechen kann...
Oft setze ich meine Where-Klausel dynamisch zusammen.
Wie kann man denn dabei Injection ausschliessen?
Viele Grüße
Lars
At 11:08 21.06.2004, you wrote:
At 11:08 AM 6/21/2004, you wrote:
Christoph Wille wrote:
> unbedingt den StringBuilder verwenden!
Und das auch dann in Regel nur, wenn man den Kram nicht in StoredProcedures
abbilden kann.
Nebenbei als Tipp:
# Zugriff auf SQL nur über SSPI
# Jeder SQL-Zugriff über Sprocs bzw. Views abbilden
# Berechtigungen innerhalb des SQL-Servers nur auf StoredProcedures / Views
verteilen
Damit hat sich dann das Thema 'SQL-Injektion' auch erledigt.
Das unterschreibe ich so nicht ganz... Es gibt auch da noch kreative
Angriffe die mit sprocs funktionieren, so man in der sproc sich Statements
dynamisch zusammenbaut.
Chris
*************************
_______________________________________________
This ASP.NET email is sponsored by:
UDEX ProMenu.Net - Die Software für Navigation - Jetzt kostenlos testen!
Tree- Style, Horizontal- Slide, Vertical- Slide. http://www.udexnet.com
_______________________________________________
Asp.net Mailingliste, Postings senden an:
[EMAIL PROTECTED]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/asp.net
*************************
---
Eingehende Mail ist zertifiziert virenfrei.
Überprüft durch AVG Antivirus System (http://www.grisoft.com/de).
Version: 6.0.708 / Virendatenbank: 464 - Erstellungsdatum: 18.06.2004
www.zoologie-online.de
Lars Berner
Stormcrow-Software
Postfach: 110123
69071 Heidelberg
---
Ausgehende Mail ist zertifiziert virenfrei.
Überprüft durch AVG Antivirus System (http://www.grisoft.com/de).
Version: 6.0.708 / Virendatenbank: 464 - Erstellungsdatum: 18.06.2004