Hallo Berhard
Zitat von
Bernhard Geyer:
Dann viel Spaß beim Erklären wenn in einem Sicherheitsaudit der Auditor erstmal den
SQL-Tracer anschmeißt und sieht das es Stellen gibt die
nicht mit parametrisierte Abfragen laufen. Wie willst du Sicherstellen das die Methode die sowas macht nicht doch mal mit Werten auf User-Eingaben gefüttert wird? Z.B. 2ter Entwickler der die internas einer Methode nicht kennt bzw. sich nicht anschaut.
in Meiner Praxis gibt es z.B. folgende Situation:
Code:
select tabtyp from Tabelle1;
case tabtyp of
Akte1 : sqltext:= 'select info from Tabelle2';
Akte2 : sqltext:= 'select info from Tabelle3';
Akte3 : sqltext:= 'select info1 from Tabelle4,Tabelle5 where Tabelle4.xid=Tabelle5.txid';
usw.
wie willst Du das mit Parametern erledigen?
solche Konstrukte wie
Code:
sqltext:='select adresse from tabelle1 where vorname='+form1.edit1.text+';'
sind natürlich tödlich.
und auch soetwas kommt auch nicht in die Tüte:
Code:
sqltext:='select adresse from tabelle1 where vorname='+Listbox1.items[listbox1.selected]+';'
Gruß
K-H