Zitat von
quso:
Ich verwende einen
ADO-
Query, welchem mittels Parameter Werte für den
SQL-String zugewiesen werden. Werden diese Parameter nun überprüft oder kann hier Schadcode eingeschmuggelt werden?
Parameter sind
IMHO die enizig sinnvolle Art Werte an ein
SQL Statement zu geben. Da sie im Statement selbst nur als Variablen auftauchen kann ihr Inhalt die Syntax des Statements nicht aushebeln.
Kurz gesagt: Du hast bereits richtig gehandelt bevor du über
SQL Injections gelesen hast.
