Yeti: ASP-Website attackiert

Beitrag lesen

SELF-Forum

ASP-Website attackiert

Yeti
Informationen zu den Bewertungsregeln

Hi,

der Vorteil von Parametern (der übrigens nicht auf ASP beschränkt ist ;-) ) liegt darin, dass du keinen String konkatenierst, sondern die Funktion des Datenbankadapters benutzt, "böse" Parameter zu überprüfen. Da werden dann z.B. Hochkommata richtig escapet, damit ein Injection-String wie '; SELECT password FROM user-- abgefangen wird.
Wenn du natürlich Eingabefelder auf der Seite hast, wo der eingegebene String anderen Usern angezeigt wird, musst du selbst darauf achten, dass dort kein böser Code reinkommen kann. Das läuft dann aber nicht mehr unter SQL Injection, denn dann sind die Eingaben ja für SQL gesehen korrekt.

Der Yeti

--
Leben in der Domstadt.
Beitrag melden
Informationen zu den Bewertungsregeln
0 26

ASP-Website attackiert

MarkX
  • datenbank
  1. 0
    Frank (no reg)
    1. 0
      MarkX
      1. 0
        thebach
        1. 0
          MarkX
          1. 0
            Yeti
  2. 0
    Cheatah
    1. 0
      MarkX
      1. 0
        Vinzenz Mai
        1. 0
          MarkX
        2. 0
          dedlfix
      2. 0
        Cheatah
        1. 0
          MarkX
          1. 0
            Cheatah
  3. 0
    Odium
  4. 0
    dedlfix
    1. 0
      MarkX
      1. 0
        dedlfix
        1. 0
          MarkX
          1. 0
            Sven Rautenberg
            1. 0
              MarkX
              1. 0
                Odium
                1. 0
                  MarkX
          2. 0
            dedlfix
        2. 0
          Odium
          1. 0
            MarkX