Hi Joachim, > Ja, nenn die Dateien einfach "xyz.inc.asp" oder "inc.xyz.asp", egal, > Hauptsache hinten steht ".asp". Jep, wird gemacht :-) > Nein. Das "FROM" ist beim "DELETE" optional, aber immer wenn Du mit > einer Benutzereingabe einen SQL-String zusammenbastelst, > besteht Gefahr, > das verheerende SQL-Statements entstehen. Ob "DELETE" oder > "UPDATE" oder > "DROP" spielt dabei keine Rolle. Hier musst Du h�rter durchgreifen. Also mu� ich wirklich pr�fen auf "DELETE", "UPDATE", "DROP", "INSERT" ? Wenn eins davon vorkommt = ung�ltiger Name. > Letztendlich ist es geboten, jede Benutzereingabe auf das zu > reduzieren, > was Du erwartest, also auf jeden Fall die Anzahl der Zeichen begrenzen > (maxlength=...), Hmmm, ok. Was soll bei einem Benutzernamen die max. L�nge sein? Kann ja schnell mal auch 20 - 30 Zeichen haben. Dann pa�t auch ein SQL-String von der L�nge. > dann st�rende Zeichen entfernen (z. B. ";" und andere > Satzzeichen, Leerzeichen und Sonderzeichen) Satzzeichen ok. Die m�ssen raus. Als da w�ren ",.;:" Leerzeichen sollten schon drinbleiben. Sonderzeichen sollten auch drinbleiben. > und dann - das ist das > Wichtigste - nat�rlich alle einfachen Anf�hrungszeichen durch doppelte > ersetzen, damit der Eingabewert komplett �bernommen wird und keine > zus�tzlichen Statements entstehen, also einfach ein > "replace(eingabewert, "'", "''"), wenn Du selber "'" in Deinen > SQL-Strings verwendest, ansonsten machst Du das gleiche mit """. Da mu� ich nochmal gr�beln :-) > ;-) > Und die Freunde, die gleichzeitig G�rtel, Hosentr�ger und Heftzwecken > zur Sicherung ihrer Beinkleider einsetzen, sollten keine Tabellennamen > verwenden, die man erraten kann. Also z. B. [x89zrg4] statt > [user] oder > [og7d45a] statt [kunden]. Ansonsten braucht man noch nicht einmal die > .inc-Dateien offenzulegen, damit ein Hacker Erfolg hat. > ;-) Ohje, da blick ich ja dann selber nicht mehr durch ;-) Aber ich gebe Dir recht. Man sollte Tabellennamen nicht SO offensichtlich nennen. Man kann ja was anh�ngen :-) z.B. [User_dr34], [Kunden_ko98] dann kenn ich mich noch aus und man kommt so einfach nicht mehr auf die Namen. Danke f�r die Tips. Ciao Buchi (Gerhard Buchner) | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
