Jump to content

Recommended Posts

Hi,


ich hab mir mal n bisschen was über SQL-Injection durchgelesen und verucht mein eigenes Script damit zu unterlaufen.


$nid wird über einen Link via Browser an die Datei weiter gegeben, die folgenden Code beinhaltet:

$sql = "SELECT * FROM $news WHERE id='$nid' ";



Nach der SQL-Injection Theorie müsste man es doch schaffen die SQL-Abfrage ungültig zu machen indem man einfach:

datei.php?$nid = 1' AND 1='2


Im Browser eingibt.


Aber mein Script führt den Query trotzdem wie gewohnt aus.

Ich bereinige die $nid nicht oder so, man müsste sie eigentlich wunderbar missbrauchen können.

Wenn ich in der Datei selbst vor den Query $nid = 1' AND 1='2 schreibe, schlägt der Query fehl.


Wisst ihr, was ich mit der SQL-Injection falsch mache?

Würde mein Script gerne sicherer machen.


Danke schonmal,

Joni

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...