Zitat von
Florian Bernd:
SQL Injections basieren auf sowas: http://www.irgendwas.de/search.php?get=title='123'
da könnte man sowas machen als Beispiel: http://www.irgendwas.de/search.php?get=title='123' or ''=''
Das man Get-Variablen vor der Benutzung in
SQL-Anweisungen kontrollieren muss, ist klar. Deshalb war ich mir bei folgendem unsicher, da dieses doch eigentlich das gleiche ist:
AdoQuery1.SQL:= 'Select * from foo where (Username=
aramUsername) and (Passwort=
aramPasswort)';
AdoQuery1.Parameters.ParamByName('ParamUsername'). Value:= Edit1.Text;
AdoQuery1.Parameters.ParamByName('ParamPasswort'). Value:= Edit2.Text;
Zitat von
Elvis:
Da sie im Statement selbst nur als Variablen auftauchen kann ihr Inhalt die Syntax des Statements nicht aushebeln.
Wunderbar!