Ansicht:   

#391997

MagicBird

Berlin,
24.01.2016, 15:22:58

mySQL in mySQLi ändern (web.coding)

Hallo Forum,

ich habe ein paar alte scripte gefunden und bei suchen auf php.net kam mysql sollte nicht mehr verwendet werden sondern mysqli also schaute ich mal nach und mußte staunen alles anders...

nun meine frage wie müsste ich meine scripte ändern damit diese auf php7 laufen


  $datum = (date("d.m.Y H:i:s"));
  $ip = $REMOTE_ADDR;
  $rechnername = (gethostbyaddr($REMOTE_ADDR));
  include "../conf/conf.inc";
  $hash_wert = md5 ($_POST['pw']);
  $query = "select * FROM $register_table WHERE name = '" . $_POST['name'] . "'";
  $result = mysql_query($query);
  while($row = mysql_fetch_array($result))
    {
      $registerid = $row["id"];
      $registername = $row["name"];
      $registeremail = $row["email"];
      $registeremailcheck = $row["emailcheck"];
      $registeronlinecheck = $row["online"];
      $p_w = $row["pw"];
    }
  if($hash_wert == $p_w)
    {
      if ($registeremailcheck == 1)
        {
          if ($registeronlinecheck == 0)



danke lars

#392017

MudGuard zur Homepage von MudGuard

München,
24.01.2016, 21:06:46

@ MagicBird

mySQL in mySQLi ändern

>


> $query = "select * FROM $register_table WHERE name = '" . $_POST['name']
> 



Was am dringendsten (auch schon vor der Umstellung auf mysqli) gemacht werden müßte:

NIEMALS Usereingaben ohne Escaping in die Datenbankabfrage übernehmen!
mysql_real_escape_string wäre das mindeste ...

Wenn ich ins Name-Feld z.B. ' OR 1 = 1 eintrage, kommt statt des einen Eintrags als Ergebnis die Liste aller User. Und das ist noch die harmloseste Variante, so eine Lücke auszunützen!

--
[image]
MudGuard
O-o-ostern

Ansicht:   
Auf unserer Web-Seite werden Cookies eingesetzt, um diverse Funktionalitäten zu gewährleisten. Hier erfährst du alles zum Datenschutz