Zitat von
p80286:
Ach wenn ich Dir Recht geben muß, sind das keine allgemeingültigen Aussagen!
Wenn z.b. der Benutzer keine Chance hat an den
SQL-Text zu kommen (Injection), dann kann
sql:=sql+....
durchaus sinnvoll sein.
In den allermeisten Fällen ist Deine Aussage korrekt, aber es gibt eben auch Ausnahmen, darum sollte man nicht ganz so dogmatisch sein.
Dann viel Spaß beim Erklären wenn in einem Sicherheitsaudit der Auditor erstmal den
SQL-Tracer anschmeißt und sieht das es Stellen gibt die
nicht mit parametrisierte Abfragen laufen. Wie willst du Sicherstellen das die Methode die sowas macht nicht doch mal mit Werten auf User-Eingaben gefüttert wird? Z.B. 2ter Entwickler der die internas einer Methode nicht kennt bzw. sich nicht anschaut.