nicht angemeldet
Grüße,| Hallo bleicher,
Wenn ich eine Variable $foo = "'; rm *; echo '" erstelle, ist das erstmal völlig ungefährlich; es handelt sich um einen String wie jeder andere, denn dies wird dabei ja nicht als Befehl ausgeführt. Aufpassen musst du nur, wenn du mit dem Inhalt der Variable etwas tust, beispielsweise ihn als Argument für ein Shell-Programm zu verwenden, das kann dann böse enden:
ist kein shell, aber das ergebniss der $ding=md5($_POST[]) wird dann in $_SESSSION[]=$ding geschrieben und über sql-query als WHERE=$ding verwendet.. ich habe da sicherheitshalber htmlentities() dazugeschaltet. bringts was?
MFG
bleicher
--
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
Boccaccio
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
Boccaccio