[Php]SQL Injection

  • Nabend, ich habe ein Problem und zwar kann man wenn man im Feld: Benutzername folgendes einfügt: ' OR username IS NOT NULL OR username = '
    in den Admin Account rein. Wie kann ich das nun beheben?
    So hab ich es bisjetzt:
    $query = mysql_query("SELECT * FROM members WHERE `username` = '".mysql_real_escape_string(stripslashes($_POST["username"]))."' AND `password` = '".mysql_real_escape_string(stripslashes(hash('whirlpool', $_POST["password"])))."'");


    Lg Cal44

  • Code
    mysql_connect(...);
    foreach($_POST as $key=>$val) $_POST[$key] = mysql_real_escape_string($val);
    foreach($_GET as $key=>$val) $_GET[$key] = mysql_real_escape_string($val);


    In ein Include packen und in jedem Skript oben includen.