Eigentlich nicht. Denn wenn die DB am selben Rechner installiert ist und nicht besonders geschützt ist, so benötige ich für das 'Einbrechen' ja nicht die SQL-Injection, sondern greife direkt darauf zu. Das Thema SQL Injection und andere Einbruchsmöglichkeiten sind erst so richtig im Web attraktiv geworden. Da aber Lazarus bzw. FPC dieses Gebiet nicht so intensiv angeht bzw. nicht die Killerapplikation im Web ist, ist die Diskussion eher flau.MmVisual hat geschrieben:Wenn das Probleme bereiten würde, dann wäre sicher JEDE Lazarus-Anwendung mit Datenbanken automatisch ein Sicherheitsrisiko und es wäre hier sicher schon breit diskutiert worden.
Ich habe das Prepared Statement vor jahr(zehnten) kenngelernt, das man dem SQL Server die Möglichkeit gibt, vor zu kompilieren um die Abarbeitung deutlich beschleunigen zu können. Nach dem Absetzen des Statement kann der Server den Executionplan speichern und nur die Parameter ändern, damit fällt das dauernde Analysieren, Kompilieren und Optimieren des Statements weg (Siehe auch MSDN Executing Prepared Statements . Ein (angenehmer) Nebeneffekt ist, das damit Änderungen am Statement selbst (= Injection von Code) verhindert werden.
Fazit: Wenn die DB ungeschützt am selben Rechner ist, so ist der Schutz vor SQL-Injections eher Akademisch als Praktisch.
Verein
Links
Suche