verfaßt von MudGuard , München, 24.01.2016, 21:06:46
>
> $query = "select * FROM $register_table WHERE name = '" . $_POST['name']
>
Was am dringendsten (auch schon vor der Umstellung auf mysqli) gemacht werden müßte:
NIEMALS Usereingaben ohne Escaping in die Datenbankabfrage übernehmen!
mysql_real_escape_string wäre das mindeste ...
Wenn ich ins Name-Feld z.B. ' OR 1 = 1 eintrage, kommt statt des einen Eintrags als Ergebnis die Liste aller User. Und das ist noch die harmloseste Variante, so eine Lücke auszunützen!
gesamter Thread: