>
> Ich bin gestern im laufe des Nachmittags draufgekommen (weil
> ich mit einigen befreudneten Admin geredet habe und), da� es
> beispielsweise Gang & Gebe ist, die Datenbankverbindung �ber
> eine Include-Datei (.INC!!!!) abzuwickeln.
Ganz schlecht... Lieber *.asp dateien nehmen (nur f�r die newbies)
>
> Ergo: Nach meiner Meldung hat die Wirtschaftskammer
> �sterreich in die Authentifizierung ein
> "replace(request("Username"),"'","")" eingebaut
> --> SQL-Fehlermeldung, die die ganze Datenbank-Connection im Klartext
> (IP-Adresse des Servers, Datenbankname, SA & Kennwort!) angezeigt hat.
Hast du dich verschrieben, oder ersetzen die ' mit einem leerstring?
>
> Das ist eine ordentliche Bombe auf der wir da sitzen - vor
> allem, weil da ja nicht nur ASP&Microsoft betroffen ist
> sondern auch php&MySQL unter Linux; einfach alles, was eine
> Datenbank hat und Parameter anfragt....
>
> uns sp�testens der Eintrag in ein Feedback-Formular oder die
> Bestellung von iregndwas (oder ein G�stebucheintrag) �ffnet
> die Datenbank mit Schreibrecht!
>
> *stefan*
| [aspdedatabase] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
