Zitat von
Phoenix:
Zitat von
yankee:
Geht nat. nur, wenn autoglobals aktiviert sind. Aber das ist eigentlich überall, weil auch nichts dagegen spricht.
Natürlich spricht das so ziemlich alles was Sicherheit angeht dagegen!
Sonst könnte man damit im Script verwendete Variablen einfach so überschreiben. Schlimmstenfalls sogar eigene
SQL-Statements in die
DB einschleusen. Also: Finger weg von Autoglobals und NUR über die GET- bzw. POST-Variablen zugreifen.
Klar, wenn man eine variable nicht initialisiertz, ist das ein sicherheitsrisiko. Aber auch einfach schlampig Programmiert.
Zum Beispiel
$
sql .="blabla";
ist nat. schlecht. Wenn man sowas in einer Schleife benutzen möchte, nimmt man eben einfach $
sql =""; davor.
@alcaeus:
man muss entweder das $ codieren (d.h. \$), denn sosnt hast eh ein Problem. Oder siehe oben, Variable initialisieren!
Wo ist das Problem??
Letzter Tipp: Drogen. Machen zwar nicht glücklich, geben einem aber wenigstens das Gefühl glücklich zu sein.
Have a lot of fun!