|
|
|
|
|
|
|||||||
| Programmierung Rat & Tat für Programmierer |
 |
|
|
Themen-Optionen | Ansicht |
01.09.2005, 13:39
|
#11 |
|
Veteran
 Registriert seit: 13.11.1999
Beiträge: 466
|
Tja, jetzt, wo du's sagst . . . ;-)
Danke ff |
|
|
|
01.09.2005, 15:21
|
#12 |
|
Aussteiger
 
|
tjo, meistens is es einem eh klar - aber erst wenn's einem gesagt, wird denkt man dran
 ...
____________________________________
Praktizierender Eristiker No hace falta ser un genio para saber quién dijo eso. Der wirklich faule Mensch ist oft extrem fleißig, denn er will möglichst schnell wieder faul sein. |
|
|
|
|
01.09.2005, 17:55
|
#13 |
|
Inventar
Registriert seit: 13.06.2001
Beiträge: 1.830
|
Oder wenns kürzer sein soll kann man die abkürzungen:
= eq (equals) < lt (less than) > gt (greater than) verwenden. Rein instinktiv würde ich aber sagen das SQL-Statements per Url zu übergeben böse ist (Stichwort XSS). jak
____________________________________
Join the DNRC | Godwin\'s Law (thx@stona) Documentation is like sex: If it\'s good, it\'s very, very good. If it\'s bad, it\'s better than nothing. \"In theory, theory and practice are the same. In practice, they are not\" (Lawrence Berra) |
|
|
|
|
01.09.2005, 19:30
|
#14 |
|
Inventar
|
Juhu ein Query als GET Parameter... gibts noch was einfacheres als eine DB zu flodden?!
 pong
____________________________________
\"Ein Gewitter reinigt die Luft\", sagte der Mann, nachdem ein Blitz seine Frau erschlug Nicht klicken! Erstposteralarm/Beschwerde/Kummerkasten Verplattet |
|
|
|
|
01.09.2005, 20:16
|
#15 |
|
Inventar
Registriert seit: 05.01.2000
Beiträge: 3.812
|
Laß ihn, so kann wenigstens jeder die DB auslesen und mit etwas Glück gibts Kundendaten/Kreditkartennummern
 Sloter |
|
|
|
|
02.09.2005, 02:43
|
#16 |
|
Veteran
Registriert seit: 13.11.1999
Beiträge: 466
|
Ahja? Geht das wirklich? Du meinst, es ist zwar schwierig eine einfache Abfrage in einer URL unterzubringen, sodass man mit mehreren Variablen arbeiten muss, aber boesen Code kann man so ohne weiteres einschlaeusen? Na ich zumindest nicht, da ich keine boesen Gedanken habe, aber wenn das so ist, werde ich die Sache nocheinmal ueberdenken muessen.
Obwohl, alles was aus meinen DBs auszulesen ist, wird ohnehin angezeigt. @Sloter - no comment lg ff |
|
|
|
|
02.09.2005, 06:52
|
#17 | |
|
Inventar
|
Zitat:
@ff wie war noch gschwind dir URL  pong
____________________________________
\"Ein Gewitter reinigt die Luft\", sagte der Mann, nachdem ein Blitz seine Frau erschlug Nicht klicken! Erstposteralarm/Beschwerde/Kummerkasten Verplattet |
|
|
|
|
|
02.09.2005, 09:08
|
#18 |
|
Inventar
Registriert seit: 08.02.2001
Beiträge: 9.977
|
@pong & sloter:
Helfen oder Schweigen! Eure Kommentare sind völlig überflüssig. Wenn ihr schon postings jagts, dann machts wenigstens vernünftige Alternativvorschläge, und hebts Euch diesen reply-style fürn Tuvok auf. |
|
|
|
|
02.09.2005, 21:49
|
#19 | |
|
Inventar
|
Zitat:
eine sql-query mit parametern die ungefiltert von einem GET-parameter übernommen werden ist extrem gefährlich für eine datenbank. würd ich mir gut überlegen ob ich das SO mach. |
|
|
|
|
|
02.09.2005, 22:46
|
#20 |
|
Inventar
Registriert seit: 08.02.2001
Beiträge: 9.977
|
Ich bleib dabei:
Damit das eine Hilfe wird, gehört imho ein bißchen mehr Info dazu. |
|
|
|
|
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
|
|
Linear-Darstellung
