Moin Com,
ich nutze die DBEx von EDR und habe nun in einem Form ein Textfeld mit dessen Hilfe der Anwender die zu ladenden Rows einschränken können soll. Also im Grunde nix anderes als ne dynamische Where-Clause, welche ich dann eben an die .Fill Methode hänge.
Nu frag ich mich, wie hier die Gefahr einer SQL-Injection aussieht. Ich gehe hier nicht von Böswilligkeit, sondern von Unwissenheit auf seiten der Anwender aus, nichts des zu trots sollte ich es bedenken. Ich ging bisher davon aus, dass wenn ich ein Feld eines typ.Dataset anspreche, dieses ja das handling der Eingaben der User übernimmt und dementsprechend die Werte schon 'sichern' sollte. Wie sieht es aber mit einer von meinem Code erstellten Where-Clause aus? Muss ich da was machen? Kann ich da was machen?
Eine Parametrisierte Query iat ja nicht wirklich möglich, da ja die eigendliche Query erst von der DBEx erzeugt wird.
Ich hab schon versucht hier im Forum was dazu zu finden, aber bis auf einen etwas vagen Threadt, hab ich nix gefunden.
ich nutze die DBEx von EDR und habe nun in einem Form ein Textfeld mit dessen Hilfe der Anwender die zu ladenden Rows einschränken können soll. Also im Grunde nix anderes als ne dynamische Where-Clause, welche ich dann eben an die .Fill Methode hänge.
Dataset.Table.Fill(Where-Clause)
Nu frag ich mich, wie hier die Gefahr einer SQL-Injection aussieht. Ich gehe hier nicht von Böswilligkeit, sondern von Unwissenheit auf seiten der Anwender aus, nichts des zu trots sollte ich es bedenken. Ich ging bisher davon aus, dass wenn ich ein Feld eines typ.Dataset anspreche, dieses ja das handling der Eingaben der User übernimmt und dementsprechend die Werte schon 'sichern' sollte. Wie sieht es aber mit einer von meinem Code erstellten Where-Clause aus? Muss ich da was machen? Kann ich da was machen?
Eine Parametrisierte Query iat ja nicht wirklich möglich, da ja die eigendliche Query erst von der DBEx erzeugt wird.
Ich hab schon versucht hier im Forum was dazu zu finden, aber bis auf einen etwas vagen Threadt, hab ich nix gefunden.