Opened by Kuerbis at 2015-11-16 09:32
User since
2012-07-18
1465 Artikel
BenutzerIn
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2012-07-18
1465 Artikel
BenutzerIn
Mei, irgendwann kann man den Tabellennamen per Parameter überschreiben.
Oder der Klassiker, der Code verbreitet sich über Copy/Paste und da kommt die Variable nicht aus einer sicheren Quelle.
Oder jemand schaffts eine SQL-Injection einzuschleusen in die Query, die den tabellennamen selected und plötzlich ist das kein Tabellenname mehr.
Oder anders: 10 Sekunden investieren und alle Parameter Quoten erspart 1 Stunde nachdenken, ob man sie in dem Fall Quoten muss.
Last edited: 2015-11-16 14:03:09 +0100 (CET)
Oder der Klassiker, der Code verbreitet sich über Copy/Paste und da kommt die Variable nicht aus einer sicheren Quelle.
Oder jemand schaffts eine SQL-Injection einzuschleusen in die Query, die den tabellennamen selected und plötzlich ist das kein Tabellenname mehr.
Oder anders: 10 Sekunden investieren und alle Parameter Quoten erspart 1 Stunde nachdenken, ob man sie in dem Fall Quoten muss.
Last edited: 2015-11-16 14:03:09 +0100 (CET)
1 + 1 = 10