Hallo!
> *.inc ist schlecht, da man die Datei als Text angezeigt bekommt, wenn
mans
> in der URL eingibt!
> Damit wei� derjenige wie die Tabelle mit den Usern hei�t. Bei *.asp
w�rde
> nichts passieren, da der Server den Code ausf�hren w�rde.
> Richtig ?
Ja, nenn die Dateien einfach "xyz.inc.asp" oder "inc.xyz.asp", egal,
Hauptsache hinten steht ".asp".
>
> Mit dem DELETE... in Feld Name w�rde ein weiterer SQL-Befehl
ausgef�hrt
> werden, der alle USER aus der Tabelle l�scht.
> Richtig ?
>
> So:
> inc gegen asp zu tauschen ist ja kein Problem. Werde ich wohl generell
> machen.
> Nur zu dem Eingabefeld f�r den Namen. Meine erste �berlegung ist
folgende:
> Wenn im Request.Form("Name") "delete" & "from" enthalten ist, nichts
machen.
> Nur die Kombination von beidem d�rfte wirklich riskant sein.
> Richtig ?
Nein. Das "FROM" ist beim "DELETE" optional, aber immer wenn Du mit
einer Benutzereingabe einen SQL-String zusammenbastelst, besteht Gefahr,
das verheerende SQL-Statements entstehen. Ob "DELETE" oder "UPDATE" oder
"DROP" spielt dabei keine Rolle. Hier musst Du h�rter durchgreifen.
Letztendlich ist es geboten, jede Benutzereingabe auf das zu reduzieren,
was Du erwartest, also auf jeden Fall die Anzahl der Zeichen begrenzen
(maxlength=...), dann st�rende Zeichen entfernen (z. B. ";" und andere
Satzzeichen, Leerzeichen und Sonderzeichen) und dann - das ist das
Wichtigste - nat�rlich alle einfachen Anf�hrungszeichen durch doppelte
ersetzen, damit der Eingabewert komplett �bernommen wird und keine
zus�tzlichen Statements entstehen, also einfach ein
"replace(eingabewert, "'", "''"), wenn Du selber "'" in Deinen
SQL-Strings verwendest, ansonsten machst Du das gleiche mit """.
;-)
Und die Freunde, die gleichzeitig G�rtel, Hosentr�ger und Heftzwecken
zur Sicherung ihrer Beinkleider einsetzen, sollten keine Tabellennamen
verwenden, die man erraten kann. Also z. B. [x89zrg4] statt [user] oder
[og7d45a] statt [kunden]. Ansonsten braucht man noch nicht einmal die
.inc-Dateien offenzulegen, damit ein Hacker Erfolg hat.
;-)
Freundliche Gr��e
Joachim van de Bruck
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
