MySql Update frage

08/03/2013 20:17 Cyperghost#1
Wollte da mal fragen ob es möglich sein kann das jemand deuch diese funktion eine SQL Injection ausführen könnte?

Es handelt sich hierbei um asp.net

Code:
public bool Update(group_Options Option)
    {
        try
        {
            //create a SqlConnection to the DB
            SqlConnection con = new SqlConnection(System.Web.Configuration.WebConfigurationManager.ConnectionStrings["Datenbank"].ConnectionString);
            //create a SqlCommand with the query tables to group_options table
            SqlCommand cmd = new SqlCommand("UPDATE group_options SET optionsID" + Option.ID + " = @optionid WHERE groupid = @groupid", con);
            //add the parameter 'optionid' 
            cmd.Parameters.AddWithValue("@optionid", Option.value);
            //add the parameter 'groupid' 
            cmd.Parameters.AddWithValue("@groupid", Option.groupID);
            //Open the SqlConnection
            con.Open();
            //check whether the SqlConnection is Open
            if (con.State == System.Data.ConnectionState.Open)
            {
                cmd.ExecuteNonQuery();
            }
            //Close the SqlConnection
            con.Close();
            return true;
        }
        catch
        {
            return false;
        }
    }
hier die class group_Options
Code:
public class group_Options
{
    public int groupID { get; set; }
    public int ID { get; set; }
    public string value { get; set; }
    public string name { get; set; }
    public string description { get; set; }
    public string type { get; set; }
}
Danke schon mal für eine antwort
08/03/2013 20:20 tolio#2
ja, so ziemlich jeder den ne decompiler hat

€dit, kleines bsp. query string nach belieben ändern, die beiden anderen sachen drunter rauslöschen, stack anpassen, fertig
08/03/2013 20:23 Cyperghost#3
ja aber das ist doch ein Int wert den ich eintrage dort könnte man doch dann keine SQL Injection ausslösen oder doch ohne den Code zuverändern?

und ich glaube ich habe gerade in der Falschen sektion gepostet:(

Das ist für eine Website:D
08/03/2013 20:26 tolio#4
wird das hier beim user ausgeführt oder ist das asp.net ?
meines bezieht sich drauf wenn jemanden den code hat, also nen endnutzer programm
in asp kenn ich mich leider net genug aus
08/03/2013 20:44 Cyperghost#5
Asp.net liegt nur auf den Server der code und der user kann ihn nicht sehen solange er ihn c# bzw. Vb.net geschrieben ist
08/03/2013 20:49 tolio#6
das ist mir schon klar, aber du hast oben nicht geschrieben das es um asp geht ;)
08/03/2013 20:52 Cyperghost#7
Ja hatte ich vergessen
Sorry