Morgen Claudius,
> Ein Command (Server.CreateObject("ADODB.command")), welches
> zus�tzlich die
> Parameters-Collection benutzt, um dem aufgerufenen SQL bzw.
> Siehe auch von Thomas gepostete URL f�r Beispiele:
> http://www.aspheute.com/artikel/20011031.htm
Genau die Beispiele leuchten mir noch nicht wirklich ein. Gelesen hab ich das
schon alles.
> Gut: Hilfskonstrukte, um sich arbeit zu erleichtern
Bin halt faul ;)
> Schlecht: sql-Injektion wird nicht verhindert, z.B. hindert
> mich nichts
> daran in einem String ein ' einzuf�gen und somit im sql zu landen
Klar, aber wieso ist das bei parametrisierten Abfragen anders? Da weise ich
doch einem Parameter (Variable!?) auch nur ein Request.Form zu. Also kann dort
doch auch alles m�gliche �bergeben werden. Wo bzw. Wie sch�tzt mich das also
vor Injektion?
> Nein. Daf�r brauchst Du echte Parameter. Deine SP hat zwar
> welche, aber Du
> �bergibst sie als Text.
Jep, nur bei parametrisierten Abfragen ists doch auch so?
> Richtig w�re einem Command-Object nur den Namen der SP zu
> �bergeben und den
> Rest �ber die Parameters-Collection zu machen.
Kannst mir bitte mal ein kurzes, einfaches Beispiel mit kurzer Erkl�rung dazu
bringen "warum" das dann sicher ist?
Schon mal Danke ;)
Buchi
_______________________________________________
Coffeehouse Mailingliste, Postings senden an:
[EMAIL PROTECTED]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/coffeehouse
