> -----Original Message----- > From: J�rgen Pekruhl [mailto:[EMAIL PROTECTED]] > Sent: Dienstag, 30. Oktober 2001 11:23 > To: ASP Datenbankprogrammierung > Subject: [aspdedatabase] AW: Re: Listmaster "Spam": Artikel > > > Hallo Ihr lieben, > zum Thema verhindern folgendes: > > Das einfache Anf�hrungszeichen * ' * ist imho ohnehin ein > ganz b�ses Zeichen (LIKE-Abfragen und �hnliches). > > Ich pers�nlich beschreite da schon l�nger einen rigorosen > Weg: Das * ' * hat in meinen Datenbanken NICHTS zu suchen. Je > nach Art des Feldinhalts ersetze ich das * ' * routinem��ig > durch * � * oder * " *, bevor irgendwas in die Database > geschrieben wird. So kann man bei ALLEN Usereingaben den zu > �bergebenden String grunds�tzlich auf * ' * hin bereinigen. > Ein * ' OR '1'='1 * ist meinen Datenbanken egal. > Du verf�lscht dadurch die usereingaben... Wenn Du z.B. eine DB hast, in der HTML gespeichert werden soll und Du ersetzt einfach >'< mit >�< oder >"< dann funktioniert z.B. folgendes nicht mehr: <img src="x.gif" onclick="show('hallo')"> Ersetz doch einfach durch >''<, das ist die offizielle Escape-Zeichenfolge f�r >'<.... Dann landet auch wirklich ein >'< in deiner DB, ohne Manipulationsm�glichkeiten... Claudius | [aspdedatabase] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
