Von:
An:
Betreff:
Re: =?UTF-8?Q?Re: SQL-DB Lesen =c3=bcber ODBC-Treiber
Klicken sie auf ein Symbol um es in die Nachricht einzusetzen:
Text Optionen:
<pre> Text </pre>
<verbatim> Text </verbatim>
[img] Text [/img]
<nofooter>
[quote] --from Newsreader at Mittwoch, 21. Februar 2018; 02:10:29-- Am 16.02.2018 um 16:11 schrieb Tom Knauf: > Bei Uebergabe als Parameter an ODBC >
ist eine sqlinjection soweit ich > weiss nicht moeglich, bei Literalen schon. > https://xkcd.com/327/ > https://www.explainxkcd.com/wiki/index.php/Little_Bobby_Tables > https://www.easysoft.com/developer/sql-injection.html Das ist mit ein Hauptgrund, warum ich zu 99,999% mit Parametern arbeite. Ich muss mich damit nicht um SQL Injection kümmern, denn die ist dabei nicht möglich, und ich muss mich auch nicht um Sonderzeichen ö.ä. kümmern. Oder was machst Du, wenn ein Firmenname eines Kunden >> [Meine] 'tolle' "Firma" << lautet? :-) -- Matthias [/quote]