nicht angemeldet
Hallo,
$thread = mysql_query("SELECT * FROM threads WHERE boardid = '$_GET[boardid]'");
Dass du gleich etwas was über $_GET kommt in einen MySQL Querry übernimmst, ohne es zu prüfen oder zu entschärfen ist grobe Fahrlässigkeit! Somit gibst du den Leuten im Internet die Gelegenheit sogar deine ganze Datenbank zu löschen.
$thread = mysql_query("SELECT *
FROM threads
WHERE boardid = ".mysql_escape_string($id)."
DESC"
);
So müsste es glaube ich funktionieren.
Grüße
Jeena Paradies
--
Räumungsverkauf alles muss raus
--
Für das Leben gezeichnet - der zweite Weltkrieg aus der eigenen Perspektive
Einer der letzten Tagebucheinträge meines Großvaters, der den zweiten Weltkrieg am eigenen Leib erfahren hat.
Räumungsverkauf alles muss raus
--
Für das Leben gezeichnet - der zweite Weltkrieg aus der eigenen Perspektive
Einer der letzten Tagebucheinträge meines Großvaters, der den zweiten Weltkrieg am eigenen Leib erfahren hat.