Julius: Fragwürdiger Schutz einer SQL-Abfrage?

Beitrag lesen

Hallo dedlfix,

Soll beispielsweise bei folgender Abfrage eine Sortierung vorgenommen werden...

SELECT * FROM users

... bediene ich mich einer Liste von erlaubten Spalten und Sortierreihenfolgen, gegen die geprüft wird und aus denen anshcließend der Teil hinter dem ORDER BY zusammengebaut wird.

Alternativ kann man auch nach der Position in der SELECT-Klausel sortieren. Dann wird über den Client lediglich eine Zahl geschleift und nicht ein Spaltenname oder ein Alias.

Interessant, das kannte ich noch nicht. Der Vorteil bei der Validierung wäre dann, dass man nur auf einen bestimmten Zahlenbereich prüfen müsste und niemand nach Spalten sortieren kann, die ich nicht im SELECT auswähle. Gut zu wissen, Danke!

Gruß
Julius