> -----Original Message-----
> From: Roman Pittroff [mailto:[EMAIL PROTECTED]]
> Sent: Mittwoch, 31. Oktober 2001 10:20
> To: ASP Datenbankprogrammierung
> Subject: [aspdedatabase] Re: Listmaster "Spam": Artikel
>
>
> >Auf dem SQL-Server gibt es Tabellen, in dem alle wichtigen Daten
> drinstehen...
> Ja das stimmt, nur ich gehe mal davon aus das der user wo
> select oder delete rechte
> auf diese nicht kommt. Aber wenn der user delete rechte hat
> darf er loeschen. :-)
>
> >Injection einen export dieser tabellen in den webspace oder sich die
> >daten einfach st�ck f�r st�ck �ber normalerweise sowieso angezeigte
> felder
> >ausgibt hat man alles was n�tig ist...
>
> Nun wie willst du als nt user guest der auf der db nur lesen
> und schreib rechte
> hast das machen? :-)
Es gibt immer noch leute, die ihre DB in der Webapp als sa �ffnen... Es
wird ja auch in vielen Beispielen so gemacht...
>
> Also was ich wissen will da ich ein bisschen gegenwind habe
> weil ich ja die strukture des project kenne. Also will ich
> denen zeigen das es trotzdem geht :-)
Was f�r ein Gegenwind? Das was geht?
> Hallo eine grundsaetzliche frage.
> >
> > Nun ist es moeglich ohne kenntnis des aufbaus der database
> und des sql
> > strings eine SQL-Injection vorzunehmen ? *ohne den ''*
>
Ich bin mir nicht mehr sicher, ob ich die frage richtig verstanden
habe...
Was meinst du mit *ohne den ''*? Wenn man ein richtiges replace von '
mit '' macht ist keine SQL-Injection mehr m�glich, wenn man nichts macht
ist immer eine injection m�glich.... Unter umst�nden muss der hacker ein
wenig rumprobieren, aber normalerweise hat er ja genug zeit, weil fehler
z.B. nicht per Mail dem Admin gemeldet werden...
Claudius
| [aspdedatabase] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
