Opened by pug at 2006-01-17 20:19
User since
2003-08-04
2145 Artikel
ModeratorIn + EditorIn
2003-08-04
2145 Artikel
ModeratorIn + EditorIn
[quote=pug,17.01.2006, 19:19]
Und in der Datenbank wird nachgeschaut, ob es solch eine User gibt:
[/quote]
Das schreit geradezu nach einem SQL-Injection-Angriff!
Niemals Benutzereingaben ohne Quoting oder Platzhalter in SQL-Befehlen verwenden!
Und in der Datenbank wird nachgeschaut, ob es solch eine User gibt:
Code: (dl
)
$result = $dbh->prepare ( "SELECT pass FROM nickname WHERE nickname = '$username'" ) or die "Vorbereitung nicht durchfuehrbar!\n";
Das schreit geradezu nach einem SQL-Injection-Angriff!
Niemals Benutzereingaben ohne Quoting oder Platzhalter in SQL-Befehlen verwenden!