Hallo :-) Also diese disscusion ist interesant, wer ist und was ist schuld.
Ich finde nicht das apostrophen als fehlerkaschieren abzuwerten ist. Es ist einfach ein weg mit zwei apostrophen die abfrage auszufuehren wie sie kommt und sollten '' sowieso zur standart validierung gehoeren. Der andere gesichtspunkt ist der bessere weg und der artikel trifft den punkt. Weil es bei einer password abfrage darum geht das niemand unbefugt in das system kommt und damit zeigt der artikel einen sicheren weg wie man es richtig macht. Also nicht nur eine loesung fuer alles nehmen nach dem motte es geht schon sondern alle moeglichkeiten ausnutzen die uns das system gibt. Fuer normale abfragen langt validierung aber nicht nur '' sondern begrenzte form felder mit input max length und wichtig post oder querys nur die pages akzeptieren von betimmten servern. Besonders spezial access zu pages. (Nicht password) Nicht Link ----> Validierung/true/false ----> page sondern Validierung/true/false --> Link/kein link ----> page Das sind nur wenige standart moeglichkeiten die zeigen das man viele moeglichkeiten hat im vorfeld sicherheits probleme zu reduzieren und einsehen das es kein patent wie die '' gibt. Gruss Roman Pittroff Consulting Bangkok, Thailand -----Original Message----- From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] Sent: Wednesday, October 31, 2001 5:43 AM To: ASP Datenbankprogrammierung Subject: [aspdedatabase] Re: Listmaster "Spam": Artikel > > Replace von Apostrophen ist kein Mittel zur Fehlerbehebung, sondern zum > Fehlerkaschieren. Das sehe ich anders... Es macht genau das was parametrisierte Kommandos machen, nicht mehr und nicht weniger... Es sorgt daf�r, dass der String ganz als String in der Abfrage ankommt und nicht teilweise als SQL-Befehle interpretiert wird.... > > IsNumeric, IsDate - die Abh�ngigkeiten von der LocaleId haben wir schon > zur > Gen�ge diskutiert. Soll das ein Gegenargument sein? Wo ist der Unterschied zwischen - <%@LCID=1031%> setzen und isDate verwenden und - Regular Expressions, die sich immer auf ein bestimmtes Format bezieht, aber nicht mit dem austauschen einer Nummer umgestellt werden k�nnen verwenden? isDate zeigt auch bei nicht existierendem Datum(z.B. 29.02.2001) einen Fehler an, wovon man bei RE nur tr�umen kann... Ich verstehe also Deine Argumente nicht... Claudius | [aspdedatabase] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
