Hallo Ihr lieben, zum Thema verhindern folgendes: Das einfache Anf�hrungszeichen * ' * ist imho ohnehin ein ganz b�ses Zeichen (LIKE-Abfragen und �hnliches).
Ich pers�nlich beschreite da schon l�nger einen rigorosen Weg: Das * ' * hat in meinen Datenbanken NICHTS zu suchen. Je nach Art des Feldinhalts ersetze ich das * ' * routinem��ig durch * � * oder * " *, bevor irgendwas in die Database geschrieben wird. So kann man bei ALLEN Usereingaben den zu �bergebenden String grunds�tzlich auf * ' * hin bereinigen. Ein * ' OR '1'='1 * ist meinen Datenbanken egal. Gru� J�rgen ----------------------------------- J�rgen Pekruhl [EMAIL PROTECTED] +49 521 92 57 622 TNS EMNID Bielefeld Stieghorster Str. 90 D - 33605 Bielefeld > -----Urspr�ngliche Nachricht----- > Von: Jutta Kavalier [mailto:[EMAIL PROTECTED]] > Gesendet: Dienstag, 30. Oktober 2001 11:06 > An: ASP Datenbankprogrammierung > Betreff: [aspdedatabase] Re: Listmaster "Spam": Artikel > > > also ich bin dann mal gespannt auf den Folgeartikel: wie > verhindere ich das ganze.... > > Gru� > Jutta > > > ----- Original Message ----- > From: "Christoph Wille" <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Monday, October 29, 2001 10:13 PM > Subject: [aspdedatabase] Listmaster "Spam": Artikel > > > http://www.aspheute.com/artikel/20011030.htm - �ber SQL Injection. Ein > wichtiges Sicherheitsthema f�r ASP Datenbankprogrammierer. > > Das ist tats�chlich das Loch numero uno. > > Chris > > > | [aspdedatabase] als [EMAIL PROTECTED] subscribed > | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv > | Sie k�nnen sich unter folgender URL an- und abmelden: > | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp > > > | [aspdedatabase] als [EMAIL PROTECTED] subscribed > | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv > | Sie k�nnen sich unter folgender URL an- und abmelden: > | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp > | [aspdedatabase] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
