Announcement

**openshinok** · 22.10.2008, 14:11

hallo,
wir suchen in unserem Intranet nicht mit der MSSQL Volltextsuche, haben aber eine �hnliche Funktionalit�t. Wir verketten alle Felder (mit Leerzeichen getrennt) welche wir durchsuchen wollen zu einem Varchar(max) und suchen auf diesen Megastring mit Charindex und pr�fen > 0 ab

Einzelne Suchw�rter verbinden wir entweder mit AND oder OR.

Allerdings setzen wir das SQL in ASP zusammen. Die einzelnen Suchbegriffe sind duch Leerzeichen getrennt. Wir k�nnen Zahlen und String mischen und nach Minibruchteilen suchen. Bsp. "Me mi 089" w�rde unter anderem Treffer bringen meier microsoft m�nchen nur allein wegen anfangsbuchstaben und rufnummer f�r m�nchen.

**gfoidl** · 22.10.2008, 19:23

Allerdings setzen wir das SQL in ASP zusammen.

Hoffentlich wird SQL-Injection ber�cksichtigt!

**openshinok** · 22.10.2008, 19:29

nicht wirklich, aber der asp code trennt die einzelnen Suchw�rter bei jedem leerzeichen. ein sql injection die mit einem Wort funktioniert ist mir nicht bekannt.

**gfoidl** · 22.10.2008, 19:35

Welche Gr�nde gibt es warum ihr nicht die Volltextsuche verwendet?
Diese ist doch effizienter da die Daten (Texte) indiziert werden.

mfG G�

**openshinok** · 22.10.2008, 19:42

ich weiss nur nicht wie es geht ;-)

**gfoidl** · 22.10.2008, 19:52

http://msdn.microsoft.com/de-de/library/ms142545.aspx Vielleicht als Einstieg.

mfG G�

**O. Helper** · 22.10.2008, 21:29

@openshinok:

ein sql injection die mit einem Wort funktioniert ist mir nicht bekannt

Bei MS musst Du auf alles gefasst sein.
Legt mal einen DB-User 'dummy' an und f�hr dann das aus:

[highlight=code][sys].[sp_droplogin]'dummy'[/highlight]
Ein Wort (keine Leerzeichen) und es funktioniert auch ohne EXEC.

Man muss nur suchen, dann findet man immer eine Sicherheitsl�cke....bei MS.....

**openshinok** · 23.10.2008, 09:58

das werde ich mal ber�cksichtigen in der n�chsten Version meiner Suche... dankesch�n

**schwima** · 23.10.2008, 10:36

Hab auch schon an der L�sung rumstudiert, alle Datum/Zahlentypenfelder in einem varchar aneinader zu reihen (mit Space getrennt) und dieses dann in die Volltextsuche zu integrieren. Dazu m�sste man ja immer wenn sich ein Wert in einem Datensatz �ndert, das varchar Feld neu aufbauen.
Aber ist dies wirklich die einzige M�glichkeit?

**openshinok** · 23.10.2008, 10:41

hallo, wenn du mit einem Select auf die Felder gehst und sie in der Abfrage zusammenbaust sind die Daten immer live und immer richtig.

Bsp. SELECT IsNull(Feld1,'') + ' ' + IsNull(Feld2,'') + ' ' + IsNull(Feld3,'') AS Feldzusammen FROM tbl_tabelle1

Ggf. muss du noch mit Cast arbeiten...

**gfoidl** · 23.10.2008, 10:56

Hi,

das letzte Bsp. ein klassiker f�r SQL-Injection - nicht verwenden!

Wenn schon parametrisiert oder Volltextsuche!

mfG G�

**schwima** · 23.10.2008, 11:20

DA der vorteil der Geschwindigkeit der Volltextsuche nicht durch vorangehende "langsame" statements gebremst werden soll, werde ich dies wohl �ber einen trigger l�sen m�ssen, der mir das varchar feld immer aktuell h�lt. (kost ja nix wenn beim speichern neuer daten das Feld gleich nochmals neu aufgebaut wird, da bei der suche aber mehrere millionen zeilen und jeweils fast alle felder durchsucht werden, k�nnen zus�tzliche statements bei der suche negative auswirkungen auf die suchzeit haben.
ich dachte nur, dass sich sicherlich schon mal jemand mit dem Problem rumgeschlagen hat, sozusagen die ganze DB zu durchsuchen, inkl. Zahlen und Daten und dies in m�glichst kurzer Zeit.

**openshinok** · 23.10.2008, 11:22

okay jetzt erkl�r mir mal wie ein SELECT ohne WHERE-Teil SQL Injections haben kann ohne dass sie Der Programmierer selbst schreibt?

**gfoidl** · 23.10.2008, 11:27

Schreib in Feld1:

Code:

1;GO EXEC cmdshell('format C')--

D.h. SELECT 1 -> geht
;GO Befehl ausf�hren
EXEC...neuer Befehl
--...der Rest is Kommentar

mfG G�

Announcement

Volltextsuche Universal

Volltextsuche Universal

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment