haben die ', oder " geholfen?
Ich bin jetzt zwar nicht der große Profi, bei den verschachtelten
mySQL-Abfragen (müßte mich da erst nochmal informieren), aber es ist so möglich fremden Code einzuschleusen.
Im Prinzip:
Code:
"DELETE FROM tabelle WHERE name = '$name';"
Normaler Weise könnte man da ja z.B. den Namen des zu löschenden Eintags angeben,
aber mit 'ner kleinen Veränderung wird der gesamte Tabelleninhalt gelöscht.
Code:
$name = "irgendwas' OR 1"
Raus kommt hier z.B.:
Code:
"DELETE FROM tabelle WHERE name = 'irgendwas' OR 1;"
Da, wegen der "1", die OR-Verknüpfung immer wahr ist, entschpricht es im Endeffekt diesem, was ja
alles löscht.
Code:
"DELETE FROM tabelle WHERE 1;"
Auf solche Weise kann man ganz schnell 'ne Abfrage ändern und somit viel anstellen -.-''