SQL Server: Escapen von Sonderzeichen

18/10/2007 - 09:20 von Martin Horst | Report spam
Hi,

ich habe hier ein Lib bekommen, die aus einer Menge von Klassen einen
SQL select Befehl erzeugt. Ich muß nun sicher stellen, daß dort
eingesetzte Wert zu keiner SQL Injection führen. Aus diesem Grund habe
ich bereits einige Zeichen (wie z.B. ' -> '' konvertiert).
Meine Frage ist nun, gibt es evtl. ein Funktion in C#, die das erledigt?
Ich weiß, man sollte normalerweise auf die DbParameter zurückgreifen,
doch das kriege ich dort nicht mehr eingebaut.

Danke
Martin
 

Lesen sie die antworten

#1 Christof Nordiek
18/10/2007 - 17:31 | Warnen spam
"Martin Horst" schrieb im Newsbeitrag
news:
Hi,

ich habe hier ein Lib bekommen, die aus einer Menge von Klassen einen SQL
select Befehl erzeugt. Ich muß nun sicher stellen, daß dort eingesetzte
Wert zu keiner SQL Injection führen. Aus diesem Grund habe ich bereits
einige Zeichen (wie z.B. ' -> '' konvertiert).



Das sollte ausreichen. Am besten mal in einer SQL-Server Gruppe fragen.
Hàngt eventuell davon ab, was für eine DB das ist. (Ich bin hier mal von
SQL-Server ausgegangen.)

Meine Frage ist nun, gibt es evtl. ein Funktion in C#, die das erledigt?
Ich weiß, man sollte normalerweise auf die DbParameter zurückgreifen, doch
das kriege ich dort nicht mehr eingebaut.




DbParameter ist eigentlich genau die Methode. Ansonsten gibt es da in C#
nichts.

Christof

Ähnliche fragen