-2
sql= "SELECT * FROM BOOK WHERE pubName = '" & myPubName & "'"
myPubName ist bereits gekapselt.Ist dieser Code anfällig für SQL-Injection-Angriffe?
sql= "SELECT * FROM BOOK WHERE pubName = '" & myPubName & "'"
myPubName ist bereits gekapselt.Ist dieser Code anfällig für SQL-Injection-Angriffe?
Ja. Wenn Sie die Variable "myPubName" als Benutzereingabe verwenden und sie nicht ordnungsgemäß überprüfen.
Um SQL jemand braucht, wie dies als den Wert von "myPubName" Variable " 'sometext' oder 1 = 1" zu injizieren schreiben
Dann wird die Abfrage wie
SELECT * FROM BOOK WHERE Pubname aussehen = 'sometext' oder 1 = 1
Das wird im Grunde alle Zeilen aus Buch-Tabelle zurückgeben.
Ihre Frage ist unklar. Bitte lesen Sie die Richtlinien, um eine Frage zu stellen und mehr Details für bessere Antworten zur Verfügung zu stellen. – vivek
JA, SI, VI, TAK, JA –
setzen Sie hi 'oder 1 = 1 - an die Stelle von myPubName und sehen Sie das Ergebnis. Du wirst deine Antwort bekommen. – vivek