Hi Chris,
> Also tu' Dir einen Gefallen - weg mit der .inc Endung bei admin.inc.
>
> Zweitens probier auf einer Offlinekopie der Db mal das als Username:
>
> ' ; DELETE FROM GBUser; SELECT * FROM GBUser WHERE NAME='
>
> Ich hab' das obige nicht probiert, mit kleinen �nderungen tut es aber
> sicher das, was da steht.
Oh je, Oh je.
Da habe ich jetzt ehrlich gesagt ein paar Minuten gebraucht um das zu
verstehen :-)
*.inc ist schlecht, da man die Datei als Text angezeigt bekommt, wenn mans
in der URL eingibt!
Damit wei� derjenige wie die Tabelle mit den Usern hei�t. Bei *.asp w�rde
nichts passieren, da der Server den Code ausf�hren w�rde.
Richtig ?
Mit dem DELETE... in Feld Name w�rde ein weiterer SQL-Befehl ausgef�hrt
werden, der alle USER aus der Tabelle l�scht.
Richtig ?
So:
inc gegen asp zu tauschen ist ja kein Problem. Werde ich wohl generell
machen.
Nur zu dem Eingabefeld f�r den Namen. Meine erste �berlegung ist folgende:
Wenn im Request.Form("Name") "delete" & "from" enthalten ist, nichts machen.
Nur die Kombination von beidem d�rfte wirklich riskant sein.
Richtig ?
Herzlichen Dank f�r Deine Hinweise.
Da sieht man mal wieder wie sehr man aufpassen sollte.
Ciao
Buchi
(Gerhard Buchner)
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
