Hallo hmm, > > Zudem, wenn ich an dein Skript eine Anrede schicke die wie folgt aussieht, hast du Probleme (ohne die Anführungszeichen am Anfang und Ende): > > "', '', '', '', ''); DROP TABLE user_info;" > > hm, du meinst wenn irgendein bösewicht mein htmlformular umgeht und die parameter direkt übergibt? > bist du dir sicher das man so einen drop befehl da reinmorksen kann? das würde ja heißen dass das db.run(param) als param zwei sql anweidungen ausführen kann oder? Unter <https://github.com/mapbox/node-sqlite3/wiki/API> finde ich keinen Hinweis, dass die SQL-Query nur aus einer Anweisung bestehen darf. Das wäre auch sehr eigentümlich bis kontraproduktiv. Bis demnächst Matthias -- Rosen sind rot.

Hallo hmm, > danke. > > > Zudem, wenn ich an dein Skript eine Anrede schicke die wie folgt aussieht, hast du Probleme (ohne die Anführungszeichen am Anfang und Ende): > > "', '', '', '', ''); DROP TABLE user_info;" > > hm, du meinst wenn irgendein bösewicht mein htmlformular umgeht und die parameter direkt übergibt? > bist du dir sicher das man so einen drop befehl da reinmorksen kann? das würde ja heißen dass das db.run(param) als param zwei sql anweidungen ausführen kann oder? Unter <https://github.com/mapbox/node-sqlite3/wiki/API> finde ich keinen Hinweis, dass die SQL-Query nur aus einer Anweisung bestehen darf. Das wäre auch sehr eigentümlich bis kontraproduktiv. Bis demnächst Matthias -- Rosen sind rot.