Morg���hnn, Hab mich also die letzten Tage mal ein wenig mit dem Thema gespielt und getestet.
> N�. Der unterschied liegt woanders. Probier den Code mal aus, > dann siehst Du es. Done ;) > > Bzw. �bergibst Du ja in Deinem Beispiel die Variablen im > > String??? Werden die Inhalte denn so an die SP �bergeben? > > Wenn Du SQL zusammenbaust ja, wenn Du aber Commands mit > Parametern benutzt nicht. Nachvollzogen > Eben nicht. > SPs werden kompiliert. Dabei wird SQL in Befehle der Engine > umgesetzt und > die Parameter sind auch wirklich Parameter zu diesen > Befehlen. Da wird also > nichts mehr als SQL interpretiert. Also mal meine Erkenntnis dazu. Und bitte tritt mir ruhig in den Hintern wenn ichs immer noch nicht kapiert habe *g* Beim String zusammen bauen wird die Injektion einfach mit ausgef�hrt. Sprich wenn nicht vorher die Eingaben �berpr�ft werden (h�ndisch), dann bin ich offen wie ein Scheunentor. Bei der �bergabe per Parameter muss ich ja den �bergabetyp angeben. Schon bei der Zuweisung an die "cmd.createParameter" kracht es, wenn der �bergebene Wert nicht dem Typ entspricht und es kommt gar nicht zu einer Ausf�hrung des "SQL" bzw. der "SP". Hoffe mal das es soweit nun stimmt und ich das richtig verstanden habe. Nun gehts aber ja noch weiter. Wird ein "falscher" bzw. "gef�hrlicher" Code �bergeben, zerlegt es mir ja die Seite mit der Fehlermeldung "Application uses a value of the wrong type for the current operation." Jetzt die Frage nach Ideen das abzufangen und f�r den User verst�ndlich auszugeben. Wie macht Ihr das? Was fangt Ihr ab? Ciao Buchi _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
