ComputerBase Menü
Aktuelles

MySQL Datenbanken Fehlermeldung

Im Prinzip gebe ich dir Recht, aber ein Query mit Parametern ist nu keine Raketenwissenschaft. Statt "+ textbox.Text" schreibt man in den String eben "@einparameter" und Added den Parameter im SQLCommand. Das sollte man sich so schnell aneignen wie möglich damit man gar nicht erst Gelegenheit hat, sich an verkettete Strings für SQL-Statements z u gewöhnen. Wozu erst den vermeintlich falschen Weg lernen, wenn man es gleich richtig machen kann? Unterm Strich ist das nur eine Zeile pro Parameter mehr, im Regelfall also genau eine Zeile.........
 
  • Gefällt mir
Reaktionen: oiisamiio, RalphS, Dalek und eine weitere Person
Hayda Ministral schrieb:
Glaubt ihr wirklich, es sei hilfreich in der Situation und in dieser Phase schon mit irgendwelchen Securityfragen und hochwohlgeborenen Diskussionen zu Designentscheidungen zu kommen?
Zum Vergrößern anklicken....
Ehm ja?! Prepared Statements von Anfang an zu nutzen? Wo genau ist da der Mehraufwand? Haette zudem den Fehler hier verhindert, also verstehe ich deinen Einwand genau null, sorry.
 
  • Gefällt mir
Reaktionen: GroMag und Madman1209
Hayda Ministral schrieb:
Glaubt ihr wirklich, es sei hilfreich in der Situation und in dieser Phase schon mit irgendwelchen Securityfragen und hochwohlgeborenen Diskussionen zu Designentscheidungen zu kommen?
Zum Vergrößern anklicken....
Ja was bringt es ihm wenn er später wegen der falschen Angewohnheit eine Datenbank schrottet oder sehr anfällig macht und nicht weiss wo man am besten ansetzen kann. Sofern der Datenbankserver genügend Power hat sind soger Callable Statments anzuraten.
 
Alles klar, dann werde ich das noch ändern. Danke für den Tipp.
Mich würde mal interessieren was die Meisten hier im Forum beruflich machen?
 
  • Gefällt mir
Reaktionen: Raijin
Im übrigen war das auch nur ein Hinweis bzw. ein Ratschlag. Was @mrmorning daraus macht, ist seine Sache. Wenn man aber nichts davon weiß und niemand einen darauf aufmerksam macht, kann man es auch nicht lernen.

Mit SQL-Injection ist nicht zu spaßen und es ist ein gängiger Angriffsvektor auf datenbankbasierte Anwendungen oder Webseiten. Das geht bis hin zum Erlangen von Adminrechten und ggfs eben auch dem Auslesen von Kundendaten oder dergleichen. Harmlos ist etwas anderes.

Für die heimische, selbst programmierte Videodatenbank mag das egal sein, aber der Mehraufwand ist derart gering - eine Zeile je Parameter mehr: cmd.Parameters.AddWithValue("@param", "value") - dass das eigentlich ein no-brainer ist. Hinzu kommt, dass die Parameter typisiert sind, also automatisch Strings mit Hochkomma im fertigen SQL-Statement erscheinen. Eine potentielle Fehlerquelle weniger.
 
Gute Frage, das kriegen wir sicher in dem thread repräsentativ zusammengetragen. Ich bin Holzwurmhändler
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Nicodil
SQL Datenbank gelöscht, Nur Insert als Backup
Antworten
6
Aufrufe
937
Nicodil
Nicodil
Larnox0
C# Windows Forms Anwendung mit MySQL Daten
Antworten
13
Aufrufe
746
Ranayna
Ranayna
D
Einfache Datenbank mit Suchfunktion gesucht
Antworten
3
Aufrufe
710
Dito
D
W
Suche Datenbank, wo man via API zugreifen kann
Antworten
13
Aufrufe
544
Der Lord
Der Lord
Pfandfinder
WordPress: ID von aktuellem Beitrag mit PHP auslesen
Antworten
2
Aufrufe
496
M4ttX
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz