|
Die letzten 5 Postings in diesem Thema » Alle anzeigen
von subjective |
Nochmal deutlicher: Der Surfer kann das SQL manipulieren und sich dadurch zB ohne Passwort anmelden, Daten verändern auf die er keinen Zugriff haben sollte, ... |
von urban-a |
und dann passiert was? |
von subjective |
Muss ich nicht unbedingt - es war ein Beispiel. Genausogut könnte ich admin' or '1 schicken. |
von urban-a |
ja aber woher weißt du meine spalten bezeichnung? |
von subjective |
Als SQL-Injection bezeichnet man Möglichkeit Formularwerte zu senden, welche den SQL-Befehl in ungewollter Weise abändern. Bei dir könnte ich zB als mail zB admin' or quiz_user = ' schicken.
Logischerwise fehlt das " vor dem ;.
Zu if und mysql_escape_string lies bitte das Manual. |
|
|
|