Tach!

Und das ist das nächste Problem: Ein SQL Statement über HTTP zu schleifen ist geradezu idiotisch. Tut mir leid für diesen Fachbegriff aber besser kann man das nicht ausdrücken.

Es handelte sich dabei um einen augenscheinlichen Angriff, keine reguläre Verwendung.

Genau!

Geplant war wohl nur das en zu übertragen. Und solche Parameter zwischen Client und Server zu transportieren ist alles andere als ungewöhnlich.

Ja sicher doch und genau das sollte und kann man prüfen und wie das geht hab ich doch beschrieben: Über eine Parameterkontrollstruktur.

Auch wenn das jetzt nicht ein Fachbegriff sein sollte der 100%ig auf irgendwelche IT-Doktorarbeiten passen muss, ist es doch im Kontext klar worum es geht.

Und das heißt eben daß ein per HTTP eingereichtes Statement schon aus der Kontrollstruktur herausfallen muss und gar nicht erst am DB-Server ankommen darf. Vielmehr muss das Statement auf dem Server liegen und wird allenfalls mit Platzhaltern gefüttert die diesem Kontext entsprechend geprüft und behandelt wurden.

MfG