Tweet
hallo,
wenn ich ab und zu etwas über SQL-Injections lese wird behauptet dass eine gespeicherte Prozedur auch nicht sicher ist sondern lieber prepared Statements verwendet werden sollen.
Ich kann das nicht ganz nachvollziehen da ich -aus meiner Sicht- keinen schadhaften Code in das SQL-Statement schleußen kann wenn ich nicht gerade mich Execute innerhalb der SP arbeite.
verständlich nicht sicher:
EXEC 'SELECT name, vorname FROM Adressen WHERE adressenID = ' + @intAdressenID
Sicher?
SELECT name, vorname FROM Adressen WHERE adressenID = @intAdressenID
wenn ich ab und zu etwas über SQL-Injections lese wird behauptet dass eine gespeicherte Prozedur auch nicht sicher ist sondern lieber prepared Statements verwendet werden sollen.
Ich kann das nicht ganz nachvollziehen da ich -aus meiner Sicht- keinen schadhaften Code in das SQL-Statement schleußen kann wenn ich nicht gerade mich Execute innerhalb der SP arbeite.
verständlich nicht sicher:
EXEC 'SELECT name, vorname FROM Adressen WHERE adressenID = ' + @intAdressenID
Sicher?
SELECT name, vorname FROM Adressen WHERE adressenID = @intAdressenID
Comment