nicht angemeldet
hi,
mal was am rande:
» <?php
> $eingabe = $_POST['textfeld'];
> echo "<b>Ihre Eingabe lautet:</b> $eingabe<br /><br />";
> ?>
> $where = $_POST['where'];
> $eingabe2 = "SELECT $select FROM $tbl ";
> $eingabe2 .= "WHERE $where";
In deinem Script öffnest du Potentiellen Angreifern mehrfach Tür und Tor.
Die unnötige umkopiererei des $_POST-Arrays ist Sinnlos und Gefährlich, da die Herkunft dieser Variablen verschleiert wird, und wie man an deinem Beispiel sieht, wird dann auch gerne mal die kontextspezifische Behandlung der Daten vergessen.
In deinem Fall wäre das htmlspecialchars().
mfg
--
echo '<pre>'; var_dump($Malcolm_Beck`s); echo '</pre>';
array(2) {
["SELFCODE"]=>
string(74) "ie:( fl:) br:> va:? ls:? fo:) rl:| n4:# ss:{ de:? js:} ch:? sh:( mo:? zu:("
["Meaningful"]=>
string(?) "Der Sinn des Lebens ist deinem Leben einen Sinn zu geben"
}
echo '<pre>'; var_dump($Malcolm_Beck`s); echo '</pre>';
array(2) {
["SELFCODE"]=>
string(74) "ie:( fl:) br:> va:? ls:? fo:) rl:| n4:# ss:{ de:? js:} ch:? sh:( mo:? zu:("
["Meaningful"]=>
string(?) "Der Sinn des Lebens ist deinem Leben einen Sinn zu geben"
}