>Aber es geht ja bei dem Injection-Schutz ja nicht nur um die >Eingabe bei einem Login, sondern auch generell in Felder. Und >bei einem Textfeld macht ja ein ' durchaus mal Sinn. Wobei ich >auch nicht wei�, inwiefern dann '' Sinn macht. > >Beste Gr��e >Matthias >
Nun deine SQL siehst so aus SELECT * FROM [table] WHERE name = 'harry' so wenn es nicht harry sondern harry's heisst ergibt dein per asp zusammen gestoepseltes SQL das raus SELECT * FROM [table] WHERE name = 'harry's' Das gibt ein error mit replace ' zu '' SELECT * FROM [table] WHERE name = 'harry''s' gibt es keinen error auch die SQL-Injection wird erschwert Weil das ' OR 1=1 -- nicht dazu fuehrt SELECT * FROM [table] WHERE name = '' OR 1=1 Sondern dazu SELECT * FROM [table] WHERE name = ''' OR 1=1 --' Gruss Roman Pittroff Consulting Bangkok, Thailand | Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ | [aspdebeginners] als archive@jab.org subscribed | http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv | Sie knnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp
