Forums Neueste Beiträge
 

SqlParameter - müssen Strings noch escaped werden?

11/09/2007 - 19:43 von Michael Stum | Report spam
Hallo,

eine Frage eines PHP/MySQL umsteigers:
Ich habe eine SQL Server 2005 Datenbank mit einer simplen Stored Procedure
die ein INSERT INTO in eine ntext-Spalte macht.
dieser übergebe ich im Code mittels eines SqlParameters einen String.

Muss der String vorher escaped werden? Ich habe dazu nichts eindeutiges
gefunden, aber nach den Hinweisen die ich sehen konnte muss ich mich da wohl
nicht drum kümmern und kann einfach beim parameter das .Value-Property mit
meinem String füllen ohne mir Sorgen um SQL Injection oder schlichte
Syntaxfehler durch Ausführungszeichen zu machen.

Stimmt das so, oder muss ich bei SqlParametern in Verbindung mit Stored
procedures irgendetwas beachten? (Von den Feldgrößen mal abgesehen)
 

Lesen sie die antworten

#1 Peter Fleischer
11/09/2007 - 20:36 | Warnen spam
Michael Stum wrote:

eine Frage eines PHP/MySQL umsteigers:
Ich habe eine SQL Server 2005 Datenbank mit einer simplen Stored
Procedure die ein INSERT INTO in eine ntext-Spalte macht.
dieser übergebe ich im Code mittels eines SqlParameters einen String.

Muss der String vorher escaped werden?



Hi Michael,
bei der Arbeit mit Parametern ist keine Anpassung von Werten einer Variablen
erforderlich. Das betrifft beispielsweise Apostrophe in String oder
Formatiereungen von Datumswerten.

Ich habe dazu nichts
eindeutiges gefunden, aber nach den Hinweisen die ich sehen konnte
muss ich mich da wohl nicht drum kümmern und kann einfach beim
parameter das .Value-Property mit meinem String füllen ohne mir
Sorgen um SQL Injection oder schlichte Syntaxfehler durch
Ausführungszeichen zu machen.



Genau so ist es.

Stimmt das so, oder muss ich bei SqlParametern in Verbindung mit
Stored procedures irgendetwas beachten? (Von den Feldgrößen mal
abgesehen)



Immer schön typgerecht arbeiten erspart Stress.

Viele Grüße

Peter

Ähnliche fragen