Zitat von
HolgerCW:
Vielen dank für die Infos.
Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:
...
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.
Wirst du müssen. und zwar das nach:
procedure Datensatz_insert (Werte: array of String; Spalten: array of String; Tabelle: String);
und schon kannst du das prepared Statement dynamisch zusammenbauen und bist sicher.
Übrigens ist deine Vorgehenweise ein Argument wieso wir aktuell unsere CRM-System rausschmeißen. Aufgrund einer Ähnlichen vorgehensweise führen Hochkommas an diversen Stellen zu Nicht-Funktionieren der Systems. Ein evtl. angedachte browserbasierter Aktualisierung dieses Systems würde die DMZ unnötig machen da über
SQL-Injection eine Lockerer Systemeinbruch möglich wäre.
Windows Vista - Eine neue Erfahrung in Fehlern.