nicht angemeldet
Moin!
Aber wie verhindere ich z.B. beim Einloggen folgendes:
Du gibst ein:
' having 1=1 ---
Und das Hochkomma-Escaping macht daraus:
' having 1=1 ---
Im Zusammenbau des SQL-Strings wird dann daraus:
SELECT * FROM tabelle WHERE feld = '' having 1=1'
Ist ungefährlich.
' or tabelle.feld like 'a%' ---
Dito.
Klar, kann hier ' escapen, aber das kann man auch umgehen oder? Mit meinen Funktionen fange ich hauptsächlich ; ab...
Escaping nimmt Sonderzeichen ihre Bedeutung. Dein Hochkomma ist also danach kein "Stringbeendigungshochkomma" mehr, sondern ein ganz einfaches Zeichen, das keine Wirkung entfaltet.
- Sven Rautenberg
--
"Beim Stuff für's Web gibts kein Material, was sonst das Zeugs ist, aus dem die Sachen sind."
(fastix®, 13. Oktober 2003, 02:26 Uhr -> </archiv/2003/10/60137/#m338340>)
"Beim Stuff für's Web gibts kein Material, was sonst das Zeugs ist, aus dem die Sachen sind."
(fastix®, 13. Oktober 2003, 02:26 Uhr -> </archiv/2003/10/60137/#m338340>)