nicht angemeldet
SQL - Injektion von "Innen"?
Hallo
In Bezug auf den Thread Platzhalter in mysql Datenbank, nicht in der Datenbankabfrage.
Ermöglicht eine Abfrage wie
... WHERE "Die Antwort lautet Affe." LIKE spalte
die Ausführung von SQL-Anweisungen die in spalte gespeichert wurden?
Ich vermute zwar, daß das nicht möglich ist, weil es sonst bei der Abfrage
... WHERE spalte LIKE "Die Antwort lautet Affe."
auch möglich wäre, aber ich bin mir alles andere als sicher, weil das "%" bei obiger Art der Abfrage auch "ausgeführt" wird.
-
Hi,
Ermöglicht eine Abfrage wie
... WHERE "Die Antwort lautet Affe." LIKE spalte
die Ausführung von SQL-Anweisungen die in spalte gespeichert wurden?SQL-Injection basiert darauf, den Code des SQL-Statements so abzuwandeln, dass weitere SQL-Statements entstehen. Ganz egal, was in der Spalte "spalte" steht: Der SQL-Code lautet weiterhin "... LIKE spalte".
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
SQL-Injection basiert darauf, den Code des SQL-Statements so abzuwandeln, dass weitere SQL-Statements entstehen
Ich ergänze den Satz mal für mich zur Präzisierung mit "... bevor der SQL-Interpreter das Statement zu sehen bekommt."
Richtig so? Wenn ja, dann leuchtet mir dein zweiter Satz ein.
Danke
-
Hi,
SQL-Injection basiert darauf, den Code des SQL-Statements so abzuwandeln, dass weitere SQL-Statements entstehen
Ich ergänze den Satz mal für mich zur Präzisierung mit "... bevor der SQL-Interpreter das Statement zu sehen bekommt."
Richtig so?ja, exakt.
Wenn ja, dann leuchtet mir dein zweiter Satz ein.
Das freut mich :-)
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
-
-