in Kurzform: Du nimmst strName und strPwd an, machst das ohne Verifizierung:
strSQL = "select count(*) from Users where UName='" & strName & "' and Pwd='" & strPwd & "'" mit admin/admin ergibt das select count(*) from Users where uname='admin' and pwd='admin' mit >>' or '1'=1<< (chevrons nur als Stringterminators) als username ergibt aber select count(*) from Users where uname='' or '1'='1' and Pwd='whatever' Presto, drinnen ist man. Allerdings gehen b�sartigere Dinge als das auch noch... wird der Dienstagsartikel bei AspHeute.com (nach .NET My Services Sneak Peek von der PDC morgen). Yep, die PDC war ganz lustig. Chris At 02:13 PM 10/28/2001 +0100, you wrote: >Was hei�t das also in einem vern�nftigen Deutsch �bersetzt ?? > >----- Original Message ----- >From: "Christoph Wille" <[EMAIL PROTECTED]> >To: <[EMAIL PROTECTED]> >Sent: Sunday, October 28, 2001 2:13 PM >Subject: [aspdebeginners] Re: [aspdebeginners] G�stebuch > > >Was anderes: die Scripts sind offen f�r SQL Injection (Michael Howard's PDC >Talk hat mich auf die Idee gebracht, einen Artikel dr�ber zu schreiben) > >username: ' OR '1'=1 >password: was auch immer > >Chris > >At 02:04 PM 10/28/2001 +0100, you wrote: > >Ich bin gerade dabei ein G�stebuch zu programmieren, habe nur noch ein > >kleines Problem, mit dem folgeden code sucht er nach dem n�chsten >Datensatz, > >dabei erzeugt er aber schon eine neue Tabelle auch wenn kein Datensatz mehr > >vorhanden ist ?!?! > > > >Kann mir jeamand helfen? > >Hier k�nnt ihr es euch anschauen: http://www.aspfreak.de/forum/view.asp > > > > > ><% > >iRecordsShown = iRecordsShown+1 > >rs.movenext > >loop > > %> > > > >Also cu > > >| Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ >| [aspdebeginners] als [EMAIL PROTECTED] subscribed >| http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv >| Sie knnen sich unter folgender URL an- und abmelden: >| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp > > >| Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ >| [aspdebeginners] als [EMAIL PROTECTED] subscribed >| http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv >| Sie knnen sich unter folgender URL an- und abmelden: >| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp // Christoph "Brains" Wille // MCSE, MCSD, MCP-IT, CNA // // E-Mail: [EMAIL PROTECTED] | Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ | [aspdebeginners] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv | Sie knnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp
