nicht angemeldet
Hi,
Was kann ich tun um dies in Zukunft zu verhindern?
wenn Du einen Wert in einen Kontext bringst, musst Du ihn kontextspezifisch kodieren. Das heißt einerseits, dass SQL-Injection im klassischen Sinne nicht mehr möglich ist, denn aus
SELECT ... FROM ... WHERE foo='bar'; INSERT INTO ...
wird
SELECT ... FROM ... WHERE foo='bar'; INSERT INTO ...' [1]
Andererseits heißt es, dass HTML-Code, der auf "legalem" Weg von außen in Deine Datenbank gelangt, bei einer entsprechenden Ausgabe menschenlesbar auf der Seite steht, anstatt als HTML-Code interpretiert zu werden. Wenn Du dieses Prinzip stetig beachtest, existiert in dieser Hinsicht kein Problem.
Cheatah
[1] Vorausgesetzt, bei Deinem DBMS findet die Maskierung per Backslash statt.
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes