nicht angemeldet
Mahlzeit treziman,
$passwort = "' OR '%><";
$aendern = mysql_query ("update test set passwort = '" . mysql_real_escape_string($passwort) . "' where nick ='Thorsten'");
...In der DB steht: ' OR '%><
Ist das richtig so?
Ja.
Da soll doch etwas maskiert werden?
Wurde ja auch - deshalb steht ja auch *GENAU DAS*, was in der Variable enthalten war, in der Datenbank.
Du solltest Dich *nochmals* intensiv mit der Funktionsweise von mysql_real_escape_string() im Besonderen und der Bedeutung des Begriffs "Kontextwechsels" im Allgemeinen beschäftigen.
MfG,
EKKi
--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
Der Martin
MudGuard