Tom: Über die Verwendung von Anführungszeichen in SQL

Beitrag lesen

Hello,

Ausserdem stelle ich mir die Frage wie die Datenbank (unabhängig vom Hersteller oder von der Version) beispielsweise auf folgendes Statement reagiert:

UPDATE tabelle SET
   numeric1 = '1test';
   numeric2 =  'test'
   WHERE id = '123test';

Probier es aus und tel es hier mit!
Das dürfte noch mehr Leute interessieren.

Eine Maskierung reicht gegen Injektionsgefahr nicht aus.

Nur Anführungszeichen helfen da auch nicht:

Das habe ich auch nicht behauptet. Ich maskiere grundsätzlich

$numeric = "1', secret='0";

$numeric = "1', secret='0";    # wo bitteschön

$id = "123' OR id > '-999999";

$id = "123' OR id > '-999999"; # ist hier noch nein Problem

... außer, dass es natürlich Fehlermeldungen oder keine Ergebnisse gibt.

Nochmals: Kann mir irgendjemand _wirklich_ gute Gründe für diese Vorgehensweise nennen?

Liebe Grüße aus http://www.braunschweig.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen