Diskussion:SQL-Injection

Gerade drüber gestolpert, sieht lesenswert aus, könnte aber auch zu kurz sein. --Flominator 20:29, 25. Jul 2005 (CEST)

Ist das ein "pro"? norro 20:48, 25. Jul 2005 (CEST)

•  Pro norro 20:48, 25. Jul 2005 (CEST)
•  Neutral Sehr schöne Beispiele, aber der einleitende Text gefällt mir nicht so, etwas kurz und sprachlich anstrengend. --Ixitixel 09:44, 27. Jul 2005 (CEST)
  • Besser? --Flominator 20:00, 27. Jul 2005 (CEST)
•  Pro Hab noch dranrumgebastelt, finde ich jetzt besser --Ixitixel 10:42, 28. Jul 2005 (CEST)
•  Pro Gefaellt mir gut, v.a. die praxisnahen Beispiele, die zur Erlaeuterung herangezogen werden sowie die Auflistung von adaequaten Gegenmassnahmen, die den Artikel vollstaendig machen. ---volty 21:04, 28. Jul 2005 (CEST)
•  Pro ---

beispiel war fehlerhaft. 'x' ist viel zu umständlich. ein echter angreifer würde eine zahl verwenden. --LuckyStarr (in der Zusammenfassung)

Im Beispiel heißt die Spalte text. Ich vermute, dass es sich beim Datentyp daher eher nicht um eine Zahl handelt und damit ist das Beispiel mit der "1" ein Syntaxfehler. Ich weiß, dass es da draußen ein paar DBMSe gibt, die mit Datentypen auf Kriegsfuß stehen, aber der Artikel sollte nicht solche Bugs (Entschuldigung, laut MySQL ist das ein Feature) voraussetzen. --Hendrik Brummermann 07:54, 19. Aug 2005 (CEST)

Dann besser bitte auch die URL aus, die ist nämlich immer noch falsch! --LuckyStarr 19:57, 30. Aug 2005 (CEST)

Der Angreifer muss also bereits vor dem Angriff wissen, wie viele Spalten die ursprüngliche Abfrage hat. --LuckyStarr (im Artikel)

Ich denke, es ist Teil des Angriffs, das herauszufinden. --Hendrik Brummermann 07:54, 19. Aug 2005 (CEST)

Haarspalterei. --LuckyStarr 19:57, 30. Aug 2005 (CEST)

Nur die wenigsten SQL-Dialekte kennen den Backslash als Escape-Zeichen. Oracle kennt z. B. nur die Möglichkeit, ein ' als ' ' zu escapen (von LIKE ... ESCAPE mal abgesehen).Udm 19:22, 7. Sep 2005 (CEST)