> Claudius wrote: > > sollte man je nach datentyp einfach testen, ob es dem erwarteten > > datentyp > > entspricht: isNumeric, isDate. Bi Strings sollte man zus�tzlich ' > > durch '' > > ersetzen und schon sollte alles sicher sein. > > Siehe oben. Bei einem String der einfach nur ein "DELETE FROM > ..." enth�lt werde ich so nicht weiter kommen.
Klar doch... Du kannst kein SQL in den Strings verbieten... Was ist denn mit einem Forum �ber slq? Solange Du parametrisierte Abfragen oder halt richtig escapst wie oben mit ' angedeutet, ist alles sicher. > Die Frage ist halt wie k�nnen alte bestehende und durchaus > auch gr��ere Projekte "sicherer" gemacht werden ohne alles > komplett umstellen zu m�ssen. Bei parametrisierten Abfragen ist die �nderung lokal, man kann also nach und nach umstellen. Wenn man dann noch eine Hilfsklasse hat, der man die ganzen parameter und werte �bergeben kann und die dann das sql f�r das command zusammenbaut, dann muss man nicht alles tausend mal schreiben.... Claudius _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
