Doch müßte gehen! Wenn man in Eingabe.Text folgenden String nimmt!
Eingabe.Text = "a'); Select * From User where Name = 'Admin" Dann solltest Du eine SQL Query vom Typ: "SELECT * FROM Buecher WHERE CONTAINS(*,' \"" + Eingabe.Text + "\" ')"; "SELECT * FROM Buecher WHERE CONTAINS(*,'a'); Select * From User where Name = 'Admin')"; Bekommen! Da ich aber kein Hacker bin - ist natürlich der 2. Select noch net wirklich clean - aber da gibt es sicher noch viel bösartigere Sachen! -----Ursprüngliche Nachricht----- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im Auftrag von Matthias Gesendet: Donnerstag, 9. September 2004 11:12 An: Glengamoi ASP. NET Betreff: [Asp.net] SQL-Injection? Hallo, entschuldigt, wenn ich damit hierher komme, aber in der ADO-Liste waren vielleicht nicht so viele ... Ich bin mittlerweile zu dem Schluß gekommen, dass man mit SQL-Injection bei dem folgenden CommandText nix werden kann. Kann das jemand von euch bestätigen oder widerlegen? objCommand.CommandText = "SELECT * FROM Buecher WHERE CONTAINS(*,' \"" + Eingabe.Text + "\" ')"; Gruß, Matthias _______________________________________________ Asp.net Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net
