WCM Forum - Einzelnen Beitrag anzeigen

Biri · 20.04.2004, 23:22

weil ein sql-string zusammengesetzt wird, der "user" und "passwort" mittels stringverknüpung einfügt.

hmmm - o.k., aus dem script ist nicht ersichtlich, woher die parameter $user und $passwort kommen.
wenn die aus einem eingabefeld kommen, ist es imho. ein risko.

als user kann man ja z.B. "' and 1=1 --" angeben.
so ginge das jedenfalls beim sql-server - bei mysql sind die quotings glaub ich ein doppeltes ", kommentar weiß ich net.

20.04.2004, 23:22	#5
Biri Hero Registriert seit: 04.09.2001 Beiträge: 894	weil ein sql-string zusammengesetzt wird, der "user" und "passwort" mittels stringverknüpung einfügt. hmmm - o.k., aus dem script ist nicht ersichtlich, woher die parameter $user und $passwort kommen. wenn die aus einem eingabefeld kommen, ist es imho. ein risko. als user kann man ja z.B. "' and 1=1 --" angeben. so ginge das jedenfalls beim sql-server - bei mysql sind die quotings glaub ich ein doppeltes ", kommentar weiß ich net.