Ja, das kann ich nachvollziehen, doch mal ein anderes Beispiel: ich habe ein l�ngeres Textfeld (keine Namens- oder Passwortabfrage) mit der Eingabe eines '. Da steht dann nach dem Replace mitten im Text zuk�nftig '' drin. Da w�re ein � doch nachliegender, oder?
Beste Gr��e Matthias -----Urspr�ngliche Nachricht----- Von: Roman Pittroff [mailto:roman_p@;uni.de] Gesendet: Freitag, 25. Oktober 2002 09:34 An: ASP Diskussionsliste fuer Anfaenger Betreff: [aspdebeginners] RE: AW: RE: AW: RE: AW: SQL-Injection Schutz >Aber es geht ja bei dem Injection-Schutz ja nicht nur um die >Eingabe bei einem Login, sondern auch generell in Felder. Und >bei einem Textfeld macht ja ein ' durchaus mal Sinn. Wobei ich >auch nicht wei�, inwiefern dann '' Sinn macht. > >Beste Gr��e >Matthias > Nun deine SQL siehst so aus SELECT * FROM [table] WHERE name = 'harry' so wenn es nicht harry sondern harry's heisst ergibt dein per asp zusammen gestoepseltes SQL das raus SELECT * FROM [table] WHERE name = 'harry's' Das gibt ein error mit replace ' zu '' SELECT * FROM [table] WHERE name = 'harry''s' gibt es keinen error auch die SQL-Injection wird erschwert Weil das ' OR 1=1 -- nicht dazu fuehrt SELECT * FROM [table] WHERE name = '' OR 1=1 Sondern dazu SELECT * FROM [table] WHERE name = ''' OR 1=1 --' Gruss Roman Pittroff Consulting Bangkok, Thailand | Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ | [aspdebeginners] als [EMAIL PROTECTED] subscribed | http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv Sie | knnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp | Oft Gefragtes: http://www.aspgerman.com/aspgerman/faq/ | [aspdebeginners] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdebeginners/ = Listenarchiv | Sie knnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdebeginners.asp
