nicht angemeldet
Hi Andreas-Lindig,
...Na, dann gute Nacht. Damit kann man problemlos jeden
beliebigen SQL-Code ausfuehren lassen...
hoffe, das geht jetzt doch nicht, wo ich doch 'addslashes benutze. Kann mir das auch nicht ganz vorstellen: in meiner Abfrage steht
WHERE AutorName LIKE '%vom_User_übergebenes_Argument%'
oder
WHERE AutorName = 'vom_User_übergebenes_Argument'
wenn der da irgend einen SQL-Scheiß reinschreibt, ist die Abfrage doch syntaktisch falsch bzw. die Wörter werden gefunden, oder?
akzeptiert Deine Funktions-API als Parameter auch mehrere, durch Semikolon getrennte SQL-Statements?
Falls ja, dann könnte die Einfügung das erste Statement syntaktisch korrekt abschließen und ein zweites Statement seiner Wahl ("drop table <name>" etc.) ausführen, während ein drittes, bedeutungsloses Statement dann mit dem Ende Deines gequoteten Strings zusammenpaßt.
Du würdest in diesem Falle ggf. noch nicht mal einen Returncode zurückgeliefert bekommen, der Dich mißtrauisch machen könnte.
Viele Grüße
Michael
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.