Hi Robert,

Das "%" wäre vor allem für like-Abfragen interessant (zumindest fallen mir grad keine anderen ein), aber da darf bei einem Login natürlich nichts durchflutschen, insbesondere bei der Passwortabfrage nicht.

Deshalb gehört LIKE nicht zu einer Passwortabfrage. Ich habe bei PostgreSQL gerade herausgefunden, dass man % nicht so einfach escapen kann, ob \% wirklich hilft, weiß ich nicht genau.

Klar, frag das Passwort üblicherweise auch nicht mit LIKE, sondern schön direkt über ein Gleichheitszeichen ab :), aber möglicherweise gibt es so exotische Fälle, an die man im Moment vielleicht gar nicht denkt, wo es eben mal sein kann, dass man einen String an irgendeiner sicherheitsrelevanten Stelle aus irgendwelchen Gründen über LIKE abfragen möchte, ohne jetzt gerade ein Beispiel zu wissen. Mir gehts hierbei sowohl ums Konkrete als auch ums Allgemeine. ;) Quasi der Leitgedanke bei der Sicherheitsverbesserung: Auch und gerade die schrägen kritischen Fälle zu finden, an die man zunächst nicht denkt. Da werd ich mir die nächsten Abende mal ein paar Tutorials reinleiern... Was den Servertraffic anbelangt, forsch ich auch mal nach.

Dank und Gruß!
Michi