[Php]SQL Injection

Cal44 · 10. Juni 2012

Nabend, ich habe ein Problem und zwar kann man wenn man im Feld: Benutzername folgendes einfügt: ' OR username IS NOT NULL OR username = '
in den Admin Account rein. Wie kann ich das nun beheben?
So hab ich es bisjetzt:
$query = mysql_query("SELECT * FROM members WHERE `username` = '".mysql_real_escape_string(stripslashes($_POST["username"]))."' AND `password` = '".mysql_real_escape_string(stripslashes(hash('whirlpool', $_POST["password"])))."'");

Lg Cal44

Trooper[Y] · 10. Juni 2012

Code

mysql_connect(...);
foreach($_POST as $key=>$val) $_POST[$key] = mysql_real_escape_string($val);
foreach($_GET as $key=>$val) $_GET[$key] = mysql_real_escape_string($val);

In ein Include packen und in jedem Skript oben includen.

Cal44 · 10. Juni 2012

Hat garnichts geändert.

Lg Cal44

breadfish.de 11. März 2022