> Ich glaub ich hab da noch ein Verst�ndnisproblem. Gibts ne
> vern�nftige Erkl�rung �ber die parametrisierten Abfragen?
Ein Command (Server.CreateObject("ADODB.command")), welches zus�tzlich die
Parameters-Collection benutzt, um dem aufgerufenen SQL bzw.
Siehe auch von Thomas gepostete URL f�r Beispiele:
http://www.aspheute.com/artikel/20011031.htm
[..]
> Aber mal kurz wie wir momentan vorgehen:
>
> Stored Procedure:
> -----
> CREATE PROCEDURE dbo.sp_CoCa_saveFormel
[..]
> ASP:
> Set dictSP = Server.CreateObject("Scripting.Dictionary")
> dictSP.Add "Usr_ID", session("user_id")
> dictSP.Add "S_ID", s_id
> dictSP.Add "F_COU_ID", Session("Admin_country_id")
> dictSP.Add "F_NAME", "'" & Request.Form("FormelName") & "'"
> dictSP.Add "F_DESCRIPTION", "'" &
> Request.Form("FormelDescription") & "'"
Gut: Hilfskonstrukte, um sich arbeit zu erleichtern
Schlecht: sql-Injektion wird nicht verhindert, z.B. hindert mich nichts
daran in einem String ein ' einzuf�gen und somit im sql zu landen
[..]
> Sind wir damit nun sicher?
N�... Siehe oben. Wenn Du numerische Werte pr�fen w�rdest und beim text
escapen w�rdest ja, aber so nicht... Du f�gst ja Werte aus Request-Form
direkt in den SQL-String ein - das ist geradezu ne Einladung...
> Ist das evtl. Schon eine
> parametrisierte Abfrage?
Nein. Daf�r brauchst Du echte Parameter. Deine SP hat zwar welche, aber Du
�bergibst sie als Text.
Richtig w�re einem Command-Object nur den Namen der SP zu �bergeben und den
Rest �ber die Parameters-Collection zu machen.
Claudius
_______________________________________________
Coffeehouse Mailingliste, Postings senden an:
[EMAIL PROTECTED]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/coffeehouse
