| From: | Michael Schwipps <msc(dot)listen(at)online(dot)de> |
|---|---|
| To: | pgsql-de-allgemein(at)postgresql(dot)org |
| Subject: | psql in Bash-Skript Variable escapen/quoten, SQL-Injection vermeiden |
| Date: | 2013-10-10 12:51:58 |
| Message-ID: | 20131010125158.GD7812@codersinn.mschwipps.de |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-de-allgemein |
Hallo,
ich möchte in eine bash/shell-Skript einen Datensatz in eine Tabelle
einfügen.
Es soll ein String/varchar mit vollem utf-8-Zeichensatzumfang eingefügt
werden.
Die Testdatenbank hat folgende Struktur:
| create database test;
| create table stringtest (s1 varchar(25));
Das Shellskript sieht wie folgt aus:
| #/bin/bash
|
| echo "insert into Stringtest (s1) values (:'s1');" | psql test --variable s1="$1"
Beim man-Page-Len habe ich bereits --variable gefunden.
Dummerweise reicht das nicht mit verschiedenen Kombinatinen aus " und '
kann ich immer wieder das quoting stören.
Was kann ich tun um SQL-Injection auszuschließen?
Viele Grüße
Michael Schwipps
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Peter Eisentraut | 2013-10-10 17:48:12 | Re: Createlang SQL ? |
| Previous Message | Andreas Kretschmer - internet24 GmbH | 2013-10-10 06:53:37 | Re: Createlang SQL ? |