Opened by master at 2005-06-13 17:38
User since
2003-10-20
610 Artikel
BenutzerIn
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-10-20
610 Artikel
BenutzerIn
Hallo zusammen...
Gilt nur bei Strings:
Meiner Ansicht nach sollte es genügen alle Aprostroph ' zu entschärfen oder entfernen.
und dann in den Abfragen ignoriert SQL ja alles zwsichen den
zwei ' '.
Beispiel:
Liege ich richtig doch richtig? Oder gibt es jemand der hier eine Schwachstelle sieht oder das hacken könnte?
Wenn MySQL/MSSQL richtig arbeiten wird alles zwischen ' '
nur als string interpretiert.
Gilt nur bei Strings:
Meiner Ansicht nach sollte es genügen alle Aprostroph ' zu entschärfen oder entfernen.
und dann in den Abfragen ignoriert SQL ja alles zwsichen den
zwei ' '.
Beispiel:
Code: (dl
)
1
2
$user =~ s/'//gis; #Bei MSSQL jedoch verdoppeln ($user =~ s/'/''/gis; )
$dbh->do("SELECT * FROM accounts WHERE user='$user' ");
Liege ich richtig doch richtig? Oder gibt es jemand der hier eine Schwachstelle sieht oder das hacken könnte?
Wenn MySQL/MSSQL richtig arbeiten wird alles zwischen ' '
nur als string interpretiert.
$i='re5tsFam ^l\rep';$i=~s/[^a-z| ]//g;$\= reverse "\U!$i";print;