MySql Update frage

Cyperghost · 08/03/2013, 20:17

Wollte da mal fragen ob es möglich sein kann das jemand deuch diese funktion eine SQL Injection ausführen könnte?

Es handelt sich hierbei um asp.net

Code:

public bool Update(group_Options Option)
    {
        try
        {
            //create a SqlConnection to the DB
            SqlConnection con = new SqlConnection(System.Web.Configuration.WebConfigurationManager.ConnectionStrings["Datenbank"].ConnectionString);
            //create a SqlCommand with the query tables to group_options table
            SqlCommand cmd = new SqlCommand("UPDATE group_options SET optionsID" + Option.ID + " = @optionid WHERE groupid = @groupid", con);
            //add the parameter 'optionid' 
            cmd.Parameters.AddWithValue("@optionid", Option.value);
            //add the parameter 'groupid' 
            cmd.Parameters.AddWithValue("@groupid", Option.groupID);
            //Open the SqlConnection
            con.Open();
            //check whether the SqlConnection is Open
            if (con.State == System.Data.ConnectionState.Open)
            {
                cmd.ExecuteNonQuery();
            }
            //Close the SqlConnection
            con.Close();
            return true;
        }
        catch
        {
            return false;
        }
    }

hier die class group_Options

Code:

public class group_Options
{
    public int groupID { get; set; }
    public int ID { get; set; }
    public string value { get; set; }
    public string name { get; set; }
    public string description { get; set; }
    public string type { get; set; }
}

Danke schon mal für eine antwort

tolio · 08/03/2013, 20:20

ja, so ziemlich jeder den ne decompiler hat

€dit, kleines bsp. query string nach belieben ändern, die beiden anderen sachen drunter rauslöschen, stack anpassen, fertig

Cyperghost · 08/03/2013, 20:23

ja aber das ist doch ein Int wert den ich eintrage dort könnte man doch dann keine SQL Injection ausslösen oder doch ohne den Code zuverändern?

und ich glaube ich habe gerade in der Falschen sektion gepostet

Das ist für eine Website

tolio · 08/03/2013, 20:26

wird das hier beim user ausgeführt oder ist das asp.net ?
meines bezieht sich drauf wenn jemanden den code hat, also nen endnutzer programm
in asp kenn ich mich leider net genug aus

Cyperghost · 08/03/2013, 20:44

Asp.net liegt nur auf den Server der code und der user kann ihn nicht sehen solange er ihn c# bzw. Vb.net geschrieben ist

tolio · 08/03/2013, 20:49

das ist mir schon klar, aber du hast oben nicht geschrieben das es um asp geht

Cyperghost · 08/03/2013, 20:52

Ja hatte ich vergessen
Sorry