|
|
Re: =?UTF-8?Q?Re: SQL-DB Lesen =c3=bcber ODBC-Treiber- #23696 in section [741082] |
Sec: |
(1) Allgemeines |
Von: |
Matthias Kahlert |
An: |
Tom Knauf |
Am/Um: |
21.02.2018 02:10:29 |
--from Newsreader at Mittwoch, 21. Februar 2018; 02:10:29-- Am 16.02.2018 um 16:11 schrieb Tom Knauf: > Bei Uebergabe als Parameter an ODBC > ist eine sqlinjection soweit ich > weiss nicht moeglich, bei Literalen schon. > https://xkcd.com/327/ > https://www.explainxkcd.com/wiki/index.php/Little_Bobby_Tables > https://www.easysoft.com/developer/sql-injection.html Das ist mit ein Hauptgrund, warum ich zu 99,999% mit Parametern arbeite. Ich muss mich damit nicht um SQL Injection kümmern, denn die ist dabei nicht möglich, und ich muss mich auch nicht um Sonderzeichen ö.ä. kümmern. Oder was machst Du, wenn ein Firmenname eines Kunden >> [Meine] 'tolle' "Firma" << lautet? -- Matthias
|
|
|
|