Klar, der Programmierer kann es in dem hier angesprochenen Fall der SQL-Injection auch ganz einfach falsch machen: Er baut das Statement als String zusammen. Das ist das einfachste Szenario. Und es ist hier auch gerade das allerwahrscheinlichste Szenario. So kompliziert musst du es gar nicht machen.
Das ändert aber freilich nichts daran, dass du SQL-Injection mit jedem halbwegs brauchbaren Framework ganz einfach ausschließen kannst.Da ein "händischer" Zugriff deutlich mehr Code beansprucht, halte ich hier die Fehlerwahrscheinlichkeit für sehr gering. Da gibt es Dümmeres aus Bequemlichkeit. Hier wäre es ja eher Dummheit aus Fleiß.
Wie dem auch sei: Händische Überprüfung richtig zu machen, dann aber die seitens de Frameworks zu "vergessen" scheint mir ganz und gar unwahrscheinlich. Eher schon verlässt sich jemand auf die selbst gestrickte händische Überprüfung, die fehlerhaft ist.
Das ändert aber freilich nichts daran, dass du SQL-Injection mit jedem halbwegs brauchbaren Framework ganz einfach ausschließen kannst.Da ein "händischer" Zugriff deutlich mehr Code beansprucht, halte ich hier die Fehlerwahrscheinlichkeit für sehr gering. Da gibt es Dümmeres aus Bequemlichkeit. Hier wäre es ja eher Dummheit aus Fleiß.
Wie dem auch sei: Händische Überprüfung richtig zu machen, dann aber die seitens de Frameworks zu "vergessen" scheint mir ganz und gar unwahrscheinlich. Eher schon verlässt sich jemand auf die selbst gestrickte händische Überprüfung, die fehlerhaft ist.
Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?
25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?