Sql Injektion
-
-
denk schon:
PHP
Alles anzeigen$teststring = "name' or `rank` = 'adm'; -- injection "; $sKey = 'key'; $_GET[$sKey] = $teststring; $verbindung = new mysqli("localhost", "*", "*"); $var = mysqli_real_escape_string($verbindung, strip_tags(htmlentities(trim($_GET[$sKey])))); # == name\' or `rank` = \'adm\'; -- injection $teststring = 'name" or `rank` = "adm"; -- injection '; $sKey = 'key'; $_GET[$sKey] = $teststring; $verbindung = new mysqli("localhost", "*", "*"); $var = mysqli_real_escape_string($verbindung, strip_tags(htmlentities(trim($_GET[$sKey])))); # == or `rank` = "adm"; -- injection
Aber wieso nicht einfach prepared statements?
EDIT:
Stop!
du brauchst doch vor der escape function nicht nochmal escapen
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!