Nein!!! aus einem '' im sql wir in das ein ' geschrieben. Gruss
Roman Pittroff Consulting Bangkok, Thailand >-----Original Message----- >From: Matthias Copray [mailto:MCopray@;gimas.net] >Sent: Friday, October 25, 2002 6:57 PM >To: ASP Diskussionsliste fuer Anfaenger >Subject: [aspdebeginners] AW: RE: AW: RE: AW: RE: AW: >SQL-Injection Schutz > > >Ja, das kann ich nachvollziehen, doch mal ein anderes >Beispiel: ich habe ein l�ngeres Textfeld (keine Namens- oder >Passwortabfrage) mit der Eingabe eines '. Da steht dann nach >dem Replace mitten im Text zuk�nftig '' drin. Da w�re ein � >doch nachliegender, oder? > >Beste Gr��e >Matthias > >-----Urspr�ngliche Nachricht----- >Von: Roman Pittroff [mailto:roman_p@;uni.de] >Gesendet: Freitag, 25. Oktober 2002 09:34 >An: ASP Diskussionsliste fuer Anfaenger >Betreff: [aspdebeginners] RE: AW: RE: AW: RE: AW: SQL-Injection Schutz > > >>Aber es geht ja bei dem Injection-Schutz ja nicht nur um die Eingabe >>bei einem Login, sondern auch generell in Felder. Und bei einem >>Textfeld macht ja ein ' durchaus mal Sinn. Wobei ich auch nicht wei�, >>inwiefern dann '' Sinn macht. >> >>Beste Gr��e >>Matthias >> > >Nun deine SQL siehst so aus > >SELECT * FROM [table] WHERE name = 'harry' > >so wenn es nicht harry sondern harry's heisst >ergibt dein per asp zusammen gestoepseltes SQL das raus > >SELECT * FROM [table] WHERE name = 'harry's' > >Das gibt ein error >mit replace ' zu '' > >SELECT * FROM [table] WHERE name = 'harry''s' > >gibt es keinen error auch die SQL-Injection >wird erschwert > >Weil das ' OR 1=1 -- > >nicht dazu fuehrt >SELECT * FROM [table] WHERE name = '' OR 1=1 > >Sondern dazu > >SELECT * FROM [table] WHERE name = ''' OR 1=1 --' > > >Gruss > >Roman Pittroff >Consulting >Bangkok, Thailand > > > > > > > > >| Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ >| [aspdebeginners] als [EMAIL PROTECTED] subscribed >| http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv Sie >| knnen sich unter folgender URL an- und abmelden: >| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp > > >| Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ >| [aspdebeginners] als [EMAIL PROTECTED] subscribed >| http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv >| Sie knnen sich unter folgender URL an- und abmelden: >| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp > | Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ | [aspdebeginners] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv | Sie knnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp
