Henryk Plötz: Hyperlink und Mailto automatisch erkennen und ergänzen

Beitrag lesen

Moin,

Beweis: Magic Quotes ausgeschaltet, Suchformular mit dem Feld "where".
Im Script sieht es so aus:
mysql_query("SELECT felder FROM tabelle WHERE '$where'");

User-Eingabe: abc'; DELETE FROM tabelle; SELECT 'ab

Fehlermeldung: You have an error in your SQL syntax near '; DELETE FROM Forum; SELECT 'ab'' at line 1

Genau das hat irgendein schlauer Mensch verboten: Man kann in einem mysql_query-Aufruf nicht mehrere durch Semikolon getrennte Queries absenden. Abgesehen davon dass damit einige praktische Probleme weg sind (das result-set von welcher Query soll mysql_query denn dann bitteschön zurückgeben?) lösen sich die Sicherheitsprobleme damit weitgehend auf.

--
Henryk Plötz
Grüße aus Berlin