ich mache die db Verbindung auch immer in einem Include File, aber nat�rlich mit *.asp! Was ist daran dann so schockierend? Oder war das einfach nur ung�nstig Formuliert?
Andreas Roth -------------------------------------- [EMAIL PROTECTED] *jetzt mit Chat* http://www.EuphoriasChild.DarkTech.org -------------------------------------- > -----Urspr�ngliche Nachricht----- > Von: Mayer, Stefan [mailto:[EMAIL PROTECTED]] > Gesendet: Mittwoch, 31. Oktober 2001 09:21 > An: ASP Datenbankprogrammierung > Betreff: [aspdedatabase] AW: RE: AW: Listmaster "Spam": Artikel > > > Ich bin gestern im laufe des Nachmittags draufgekommen (weil ich mit > einigen befreudneten Admin geredet habe und), da� es > beispielsweise Gang > & Gebe ist, die Datenbankverbindung �ber eine Include-Datei (.INC!!!!) > abzuwickeln. > > Ergo: Nach meiner Meldung hat die Wirtschaftskammer �sterreich in die > Authentifizierung ein "replace(request("Username"),"'","")" eingebaut > --> SQL-Fehlermeldung, die die ganze Datenbank-Connection im Klartext > (IP-Adresse des Servers, Datenbankname, SA & Kennwort!) angezeigt hat. > > Das ist eine ordentliche Bombe auf der wir da sitzen - vor allem, weil > da ja nicht nur ASP&Microsoft betroffen ist sondern auch > php&MySQL unter > Linux; einfach alles, was eine Datenbank hat und Parameter anfragt.... > > uns sp�testens der Eintrag in ein Feedback-Formular oder die > Bestellung > von iregndwas (oder ein G�stebucheintrag) �ffnet die Datenbank mit > Schreibrecht! > > *stefan* > > -----Urspr�ngliche Nachricht----- > Von: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > Gesendet: Mittwoch, 31. Oktober 2001 10:16 > An: ASP Datenbankprogrammierung > Betreff: [aspdedatabase] RE: AW: Listmaster "Spam": Artikel > > > Klar Karin, > > Wenn man das mit den Rechten alles richtig macht, sind schon mal eine > Menge L�cher gestopft... > Aber in einer Welt in der viele ihren Produktion-Server mit leerem > passwort f�r den sa laufen lassen...... > > > Claudius > > > | [aspdedatabase] als [EMAIL PROTECTED] subscribed > | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv > | Sie k�nnen sich unter folgender URL an- und abmelden: > | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp > > | [aspdedatabase] als [EMAIL PROTECTED] subscribed > | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv > | Sie k�nnen sich unter folgender URL an- und abmelden: > | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp > | [aspdedatabase] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
