Moin dedlfix,

Das ist aber keine SQL-Injektion sondern eine HTML-Injection. SQL-Injection hat das Ziel, ein SQL-Statement so zu beinflussen, dass es etwas anderes ausführt als von seinem Autor beabsichtigt.

Aber genau das ist doch passiert. Ich dachte, das hätte ich auch so beschrieben.

Das Eintragen von Daten ist ein ganz normaler und erwünschter Vorgang. Das Prüfen der Daten auf gewünschten Inhalt ist auch nicht Bestand einer SQL-Injection-Absicherung.

Dann habe ich den kompletten Thread bis dato mißverstanden und auch alle, die geantwortet haben, lagen falsch.

Auch gut, wenn du dich dem Thema zuwendest, aber das allein hätte den Angriff nicht verhindert.

Warum nicht?

Jede Art von Kontextwechsel muss beachtet werden...

Das hatte mir Cheatah bereits erfolgreich nahegelegt.

Nicht unbedingt. ... Gegen das unerwünschte Ausführen von Code hilft nur den Kontextwechsel zu beachten, und die Daten so zu behandeln, dass sie nicht Code interpretiert werden können.

Richtig. Wenn es aber möglich wäre zu verhindern, daß _unerwünschter_ Code in meine Datenbank gelangt, bräuchte ich mir darüber keine Gedanken zu machen. Ich ging jetzt davon aus, daß das Verwenden von Prepared Statements mich diesem Ziel ein gutes Stück näher bringt.

MfG
MarkX.