injection Hilfe

~~brongseherr21~~ · 08/13/2015, 11:30

hey also die page habe ich jetzst so gesichert mit

$Post = clean($_POST['#####'])
und zusätzlich so noch
$Post1 = str_replace( "'", "''", $Post);

doch beim reset server naja wäre nett wen da jemand einen sicheren hochladen könnnte oder mir schicken könnte ich wäre Über Glücklich und würde euch die füse Küssen

so hab den Restserver Source Code und die zeile

Code:

  openConnection();
                    SqlCommand cmdDoLogin = Connection.CreateCommand();
                    cmdDoLogin.CommandText = "SELECT nEMID, dDate FROM " + Program.Settings["DatabaseManager.DataSource.TokenTable"] + " WHERE sToken = @token order by dDate asc;";
                    cmdDoLogin.Parameters.AddWithValue("@token", stoken);

doch wie mach ich das sicher

so viel ich nagelesen habe solte doch das hir

Code:

cmdDoLogin.Parameters.AddWithValue("@token", stoken);

die Injection verhindern oder nicht ?

so hoffe habe das richtig gemacht das einlogen klapt nemlich suppa

Code:

                    SqlCommand cmdDoLogin = Connection.CreateCommand();
                    string @sRes = System.Text.RegularExpressions.Regex.Replace("@token", @"[^0-9a-zA-Z .;.,_-]", string.Empty);
                    cmdDoLogin.CommandText = "SELECT nEMID, dDate FROM " + Program.Settings["DatabaseManager.DataSource.TokenTable"] + " WHERE sToken = @sRes order by dDate asc;";
                    cmdDoLogin.Parameters.AddWithValue("@sRes", stoken);

xFavouR · 08/14/2015, 10:56

Quote:
Originally Posted by brongseherr21
hey also die page habe ich jetzst so gesichert mit

$Post = clean($_POST['#####'])
und zusätzlich so noch
$Post1 = str_replace( "'", "''", $Post);

doch beim reset server naja wäre nett wen da jemand einen sicheren hochladen könnnte oder mir schicken könnte ich wäre Über Glücklich und würde euch die füse Küssen

so hab den Restserver Source Code und die zeile
Code:
  openConnection();
                    SqlCommand cmdDoLogin = Connection.CreateCommand();
                    cmdDoLogin.CommandText = "SELECT nEMID, dDate FROM " + Program.Settings["DatabaseManager.DataSource.TokenTable"] + " WHERE sToken = @token order by dDate asc;";
                    cmdDoLogin.Parameters.AddWithValue("@token", stoken);
doch wie mach ich das sicher

so viel ich nagelesen habe solte doch das hir
Code:
cmdDoLogin.Parameters.AddWithValue("@token", stoken);
die Injection verhindern oder nicht ?

so hoffe habe das richtig gemacht das einlogen klapt nemlich suppa
Code:
                    SqlCommand cmdDoLogin = Connection.CreateCommand();
                    string @sRes = System.Text.RegularExpressions.Regex.Replace("@token", @"[^0-9a-zA-Z .;.,_-]", string.Empty);
                    cmdDoLogin.CommandText = "SELECT nEMID, dDate FROM " + Program.Settings["DatabaseManager.DataSource.TokenTable"] + " WHERE sToken = @sRes order by dDate asc;";
                    cmdDoLogin.Parameters.AddWithValue("@sRes", stoken);

Injection geht immernoch :^)