Vinzenz Mai: ASP-Website attackiert

Beitrag lesen

SELF-Forum

ASP-Website attackiert

Vinzenz Mai
Informationen zu den Bewertungsregeln

Hallo,

Nun müßte ich also alle " und ' in diesem String mit \ maskieren, oder wie?

nein, denn die Voraussetzung [1] ist nicht erfüllt.

MS SQL-Server maskiert einfache Anführungszeichen durch eine Verdopplung. [2]
Daher nicht:

SELECT ... FROM ... WHERE foo='bar'; INSERT INTO ...' [1]

sondern

SELECT ... FROM ... WHERE foo='bar''; INSERT INTO ...' [1]

Wenn Du statt dynamisch zusammengesetzter SQL-Statements Prepared Statements verwendest, dann erledigt das das DBMS für Dich.

Freundliche Grüße

Vinzenz

[1] Vorausgesetzt, bei Deinem DBMS findet die Maskierung per Backslash statt.

[2] Das ist im Handbuch ganz einfach zu finden.

Beitrag melden
Informationen zu den Bewertungsregeln
0 26

ASP-Website attackiert

MarkX
  • datenbank
  1. 0
    Frank (no reg)
    1. 0
      MarkX
      1. 0
        thebach
        1. 0
          MarkX
          1. 0
            Yeti
  2. 0
    Cheatah
    1. 0
      MarkX
      1. 0
        Vinzenz Mai
        1. 0
          MarkX
        2. 0
          dedlfix
      2. 0
        Cheatah
        1. 0
          MarkX
          1. 0
            Cheatah
  3. 0
    Odium
  4. 0
    dedlfix
    1. 0
      MarkX
      1. 0
        dedlfix
        1. 0
          MarkX
          1. 0
            Sven Rautenberg
            1. 0
              MarkX
              1. 0
                Odium
                1. 0
                  MarkX
          2. 0
            dedlfix
        2. 0
          Odium
          1. 0
            MarkX