Tja, jetzt, wo du's sagst . . . ;-)

Danke
ff

tjo, meistens is es einem eh klar - aber erst wenn's einem gesagt, wird denkt man dran :rolleyes: ...

Oder wenns kürzer sein soll kann man die abkürzungen:
= eq (equals)
< lt (less than)
> gt (greater than)
verwenden.
Rein instinktiv würde ich aber sagen das SQL-Statements per Url zu übergeben böse ist (Stichwort XSS).

jak

Juhu ein Query als GET Parameter... gibts noch was einfacheres als eine DB zu flodden?! :ms:

pong

Laß ihn, so kann wenigstens jeder die DB auslesen und mit etwas Glück gibts Kundendaten/Kreditkartennummern :D

Sloter

Ahja? Geht das wirklich? Du meinst, es ist zwar schwierig eine einfache Abfrage in einer URL unterzubringen, sodass man mit mehreren Variablen arbeiten muss, aber boesen Code kann man so ohne weiteres einschlaeusen? Na ich zumindest nicht, da ich keine boesen Gedanken habe, aber wenn das so ist, werde ich die Sache nocheinmal ueberdenken muessen.

Obwohl, alles was aus meinen DBs auszulesen ist, wird ohnehin angezeigt.

@Sloter - no comment

lg
ff

passt, dann hab ich nichts gesagt :ms:

@ff wie war noch gschwind dir URL ;)

pong

@pong & sloter:
Helfen oder Schweigen!
Eure Kommentare sind völlig überflüssig.
Wenn ihr schon postings jagts,
dann machts wenigstens vernünftige Alternativvorschläge,
und hebts Euch diesen reply-style fürn Tuvok auf.

das war hilfe.
eine sql-query mit parametern die ungefiltert von einem GET-parameter übernommen werden ist extrem gefährlich für eine datenbank.
würd ich mir gut überlegen ob ich das SO mach.

Ich bleib dabei:
Damit das eine Hilfe wird,
gehört imho ein bißchen mehr Info dazu.