SQL - Injektion von "Innen"?
Texter mit x
- datenbank
0 Cheatah0 Texter mit x0 Cheatah
Hallo
In Bezug auf den Thread Platzhalter in mysql Datenbank, nicht in der Datenbankabfrage.
Ermöglicht eine Abfrage wie
... WHERE "Die Antwort lautet Affe." LIKE spalte
die Ausführung von SQL-Anweisungen die in spalte gespeichert wurden?
Ich vermute zwar, daß das nicht möglich ist, weil es sonst bei der Abfrage
... WHERE spalte LIKE "Die Antwort lautet Affe."
auch möglich wäre, aber ich bin mir alles andere als sicher, weil das "%" bei obiger Art der Abfrage auch "ausgeführt" wird.
Hi,
Ermöglicht eine Abfrage wie
... WHERE "Die Antwort lautet Affe." LIKE spalte
die Ausführung von SQL-Anweisungen die in spalte gespeichert wurden?
SQL-Injection basiert darauf, den Code des SQL-Statements so abzuwandeln, dass weitere SQL-Statements entstehen. Ganz egal, was in der Spalte "spalte" steht: Der SQL-Code lautet weiterhin "... LIKE spalte".
Cheatah
SQL-Injection basiert darauf, den Code des SQL-Statements so abzuwandeln, dass weitere SQL-Statements entstehen
Ich ergänze den Satz mal für mich zur Präzisierung mit "... bevor der SQL-Interpreter das Statement zu sehen bekommt."
Richtig so? Wenn ja, dann leuchtet mir dein zweiter Satz ein.
Danke
Hi,
SQL-Injection basiert darauf, den Code des SQL-Statements so abzuwandeln, dass weitere SQL-Statements entstehen
Ich ergänze den Satz mal für mich zur Präzisierung mit "... bevor der SQL-Interpreter das Statement zu sehen bekommt."
Richtig so?
ja, exakt.
Wenn ja, dann leuchtet mir dein zweiter Satz ein.
Das freut mich :-)
Cheatah