AW: [Coffeehouse] Tips Ideen zu Sicherheit von Webanwendungen?

Thu, 25 Nov 2004 03:35:56 -0800 

Hi,

> Klar doch... Du kannst kein SQL in den Strings verbieten...
> Was ist denn mit einem Forum �ber slq?
> Solange Du parametrisierte Abfragen oder halt richtig escapst 
> wie oben mit '
> angedeutet, ist alles sicher.

Ich glaub ich hab da noch ein Verst�ndnisproblem. Gibts ne vern�nftige 
Erkl�rung �ber die parametrisierten Abfragen?

> Bei parametrisierten Abfragen ist die �nderung lokal, man 
> kann also nach und
> nach umstellen. Wenn man dann noch eine Hilfsklasse hat, der 
> man die ganzen
> parameter und werte �bergeben kann und die dann das sql f�r 
> das command
> zusammenbaut, dann muss man nicht alles tausend mal schreiben....

Erkl�rt sich vermutlich wenn ich obiges verstehe :)

Aber mal kurz wie wir momentan vorgehen:

Stored Procedure:
-----
CREATE PROCEDURE dbo.sp_CoCa_saveFormel
        (
                @Usr_ID integer = 0,
                @F_COU_ID integer = 0,
                @F_ID integer = 0,
                @S_ID integer = 0,
                @F_NAME varchar(255) = '',
                @F_DESCRIPTION varchar(255) = '',
                @F_RELEASE integer = 0,
                @F_RELEASE_USER_ID integer = 0
        )
AS

        DECLARE @NEW_ID AS INTEGER

        If (@F_ID=0)
        Begin
                /** INSERT **/
                INSERT INTO formula (f_cou_id, f_name, f_description, 
f_createdate, f_create_user_id, f_lastupdate, f_update_user_id) VALUES 
(@F_COU_ID, @F_NAME, @F_DESCRIPTION, GETDATE(), @Usr_ID, GETDATE(), @Usr_ID)
                SET @NEW_ID = (SELECT @@IDENTITY)
                INSERT INTO s_to_f (stf_s_id, stf_f_id) VALUES (@S_ID, @NEW_ID)
                SELECT @NEW_ID AS ID
        End

RETURN
GO
-----

ASP:
-----
Set dictSP = Server.CreateObject("Scripting.Dictionary")
dictSP.Add "Usr_ID", session("user_id")
dictSP.Add "S_ID", s_id
dictSP.Add "F_COU_ID", Session("Admin_country_id")
dictSP.Add "F_NAME", "'" & Request.Form("FormelName") & "'"
dictSP.Add "F_DESCRIPTION", "'" & Request.Form("FormelDescription") & "'"

set rs = server.createobject("adodb.recordset")
rs.open makeSPCall("sp_CoCa_saveFormel", dictSP), dbw
Set dictSP = Nothing
f_id = rs.Fields("ID")
-----

Function makeSPCall:
-----
Function makeSPCall(spName, spPara)
        strSP = "EXEC " & spName & " "
        For Each Para in spPara
                strSP = strSP & "@" & Para & "=" & spPara(Para) & ","
        Next
        strSP = Left(strSP, Len(strSP) - 1)
        makeSPCall = strSP
End Function
-----

Sind wir damit nun sicher? Ist das evtl. Schon eine parametrisierte Abfrage?

Ciao
Buchi
_______________________________________________
Coffeehouse Mailingliste, Postings senden an:
[EMAIL PROTECTED]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/coffeehouse

Antwort per Email an