Hi,

Damit hast du ein Prima Skript für mysql Injection geschaffen und eröffnest jedem Hacker den zugriff auf deine Datenbanken und deine Anwendung.

Das hab ich auch gemerkt.
Zum glück hab ich vor der Freigabe des Projekts nochmal alles durchgeschaut. Diese stelle hatte ich einfach am Anfang übersehen.

Jetzt habe ich gemerkt, dass bei Vorkommen von % im login dies als Platzhalter interpretiert wird. Worauf ich das like durch = ersetzt habe.

Der Platzhalter ist gut und sollte auch verwenden werden, dann hast du weder das oben genannte Problem noch eins mit Sonderzeichen:

http://search.cpan.org/~timb/DBI-1.52/DBI.pm#Placeholders_and_Bind_Values
Diese Syntax kannte ich bisher nicht, schaut aber recht praktisch aus.
Aber das hatte ja mit dem Platzhalter so wie er bei mir vorkam eh nichts zu tun.
Aber bietet das Sicherheitsvorteile gegenüber quotemeta()?

Genau, gut erkannt. wie gesagt google mal nach mysql injection, da wirst du Seiten finden, die genau dieses beschreiben

Ich werd mir da mal noch ein paar beispiele anschauen.

mfG,
steckl