nicht angemeldet
Hallo muhertle!
»»angenommen ich übernehme bestimmte $_GET variablen direkt in eine mysql Abfrage, kann man dann nicht die Url manuell so verändern, dass man irgendwelche befehle ausführen kann?
Natürlich.
Siehe dclp FAQ: 16.18. Wie kann ich bösartigen Code in SQL-Abfragen unterbinden? und dclp FAQ: 12.11. Prüfe importierte Parameter. Traue niemandem.
MfG
Götz
--
Losung für Mittwoch, 16. März 2005
Sie zogen Daniel aus der Grube heraus, und man fand keine Verletzung an ihm; denn er hatte seinem Gott vertraut. (Daniel 6,24)
Jemand berichtete: Siehe, die Männer, die ihr ins Gefängnis geworfen habt, stehen im Tempel und lehren das Volk. (Apostelgeschichte 5,25)
(Losungslink)
Losung für Mittwoch, 16. März 2005
Sie zogen Daniel aus der Grube heraus, und man fand keine Verletzung an ihm; denn er hatte seinem Gott vertraut. (Daniel 6,24)
Jemand berichtete: Siehe, die Männer, die ihr ins Gefängnis geworfen habt, stehen im Tempel und lehren das Volk. (Apostelgeschichte 5,25)
(Losungslink)