Opened by Gast at 2006-12-20 13:03
User since
2003-08-04
14371 Artikel
ModeratorIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-08-04
14371 Artikel
ModeratorIn
Die Platzhalter sorgen dafür, dass Sonderzeichen gequotet werden. Sonst sind rein theoretisch 
SQL Injections möglich.
Nehmen wir zum Beispiel mal die folgende Abfrage (nur SQL):[sql]SELECT * FROM user WHERE username = '$username' AND password = '$password'[/sql]
Wenn jetzt jemand so etwas als $username und $password übergeben würde:
, dann würde da zusammengesetzt folgendes rauskommen:[sql]SELECT * FROM user WHERE username = '' OR '1' = '1' AND password = '' OR '1' = '1'[/sql]...
Mit den Platzhaltern werden die ' automatisch gequotet, so dass folgendes rauskommt:[sql]SELECT * FROM user WHERE username = '\' OR \'1\' = \'1' AND password = '\' OR \'1\' = \'1'[/sql]...
SQL Injections möglich.Nehmen wir zum Beispiel mal die folgende Abfrage (nur SQL):[sql]SELECT * FROM user WHERE username = '$username' AND password = '$password'[/sql]
Wenn jetzt jemand so etwas als $username und $password übergeben würde:
Code: (dl
)
' OR '1' = '1
Mit den Platzhaltern werden die ' automatisch gequotet, so dass folgendes rauskommt:[sql]SELECT * FROM user WHERE username = '\' OR \'1\' = \'1' AND password = '\' OR \'1\' = \'1'[/sql]...
OTRS-Erweiterungen (http://feature-addons.de/)
Frankfurt Perlmongers (http://frankfurt.pm/)
--
Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/
Frankfurt Perlmongers (http://frankfurt.pm/)
--
Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/