Zitat von
generic:
AND serie LIKE ".$_POST['such']."%";
wer sowas benutzt braucht sich nicht zu wundern wenn die datenbank leer ist oder die seite defaced wird!
Also dann kann ich ja froh sein, dass ich nicht dabei bin.
Zitat von
generic:
Also so habe ich das noch nicht gesehen. Ich habe aber am Anfang meines Skriptes folgende Zeilen stehen:
Code:
[color=#800080]foreach[/color] ([color=#000080][i]$_GET[/i][/color] [color=#800080]as[/color] [color=#000080][i]$value[/i][/color])
{
[color=#000080][i]$value[/i][/color] = mysql_real_escape_string([color=#000080][i]$value[/i][/color]);
}
Diese habe ich aber deswegen eingefügt, dass bei einer Eingabe von einem ' kein
SQL-Fehler entsteht, an solche
bösen Ideen habe ich noch garnicht gedacht. Aber so sollte das ganze doch auch sicher sein, oder?
Jetzt wo ihrs sagt: Ich machs dem Angreifer auch so einfach wie es nur geht. Ich stell ihm sogar das ganze
Query zur Verfügung:
Code:
<!--
SQL:
Query successful: '
SELECT s.id, serie, band, zusatz, t.type, author, p.publisher AS verlag, isbn, price, pages, publish_month, publish_year, notes
FROM page_series AS s, page_types AS t, page_publishers AS p
WHERE s.type = t.id
AND p.id = s.publisher
ORDER BY serie, band ASC' -->
Seht euch mal den Quellcode an bitte:
http://web575.servana.de/animeworld/series.php. Ist das unsicher, wenn ich hier jede
SQL-Aktion ausgebe?
btw: Bin nur der Programmierer; für den Inhalt kann ich nicht haften. 
Grüße
Faux