Ansicht:   

#392017 mySQL in mySQLi ändern (web.coding)

verfaßt von MudGuard zur Homepage von MudGuard, München, 24.01.2016, 21:06:46

>


> $query = "select * FROM $register_table WHERE name = '" . $_POST['name']
> 



Was am dringendsten (auch schon vor der Umstellung auf mysqli) gemacht werden müßte:

NIEMALS Usereingaben ohne Escaping in die Datenbankabfrage übernehmen!
mysql_real_escape_string wäre das mindeste ...

Wenn ich ins Name-Feld z.B. ' OR 1 = 1 eintrage, kommt statt des einen Eintrags als Ergebnis die Liste aller User. Und das ist noch die harmloseste Variante, so eine Lücke auszunützen!

--
[image]
MudGuard
O-o-ostern

 

gesamter Thread:

  • mySQL in mySQLi ändern - MagicBird - 24.01.2016, 15:22:58 [4226 Hits] [Board][Mix]
    • mySQL in mySQLi ändern - MudGuard zur Homepage von MudGuard - 24.01.2016, 21:06:46 [4117 Hits]
Ansicht:   
Auf unserer Web-Seite werden Cookies eingesetzt, um diverse Funktionalitäten zu gewährleisten. Hier erfährst du alles zum Datenschutz