At 11:42 PM 10/30/2001 +0100, you wrote: > > Replace von Apostrophen ist kein Mittel zur Fehlerbehebung, sondern zum > > Fehlerkaschieren. > >Das sehe ich anders... >Es macht genau das was parametrisierte Kommandos machen
ich hab's extra hingeschrieben - das sind prepared statements. Die escapen alles nach Facon der Datenbank, auch alles, was man unter Umst�nden jemals vergessen k�nnte. >nicht weniger... Es sorgt daf�r, dass der String ganz als String in der >Abfrage ankommt und nicht teilweise als SQL-Befehle interpretiert >wird.... was ich damit sagen wollte: ich gehe das Problem beim Symptom an, nicht bei der Ursache. Was der Artikel zeigt ist passive Sicherheit in ASP Datenbankseiten einbauen. Sicherheit auf die ich mich auch dann verlassen kann, werden neue Attacken gefunden. > > IsNumeric, IsDate - die Abh�ngigkeiten von der LocaleId haben wir schon > > zur Gen�ge diskutiert. > >Soll das ein Gegenargument sein? absolut ja. Ich hatte das Vergn�gen, eine lokalisierte Site zu erstellen (f�r verschiedenste Sprachen), wo die Leute Input Locale getrennt von pr�ferierten Eingabeformat verwenden konnten. >- Regular Expressions, die sich immer auf ein bestimmtes Format bezieht, >aber nicht mit dem austauschen einer Nummer umgestellt werden k�nnen >verwenden? ich hab's im Artikel extra-freundlich formuliert, da� man sich mit RegEx'en anfreunden sollte. Die sind so ziemlich leistungsf�hig, und unter .NET vorkompiliert. Chris | [aspdedatabase] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
