Wenn ich mein Script wiefolgt aufrufe:
Code:
http://meine-Homepage.de/Test.php?username='Test'&passwort='blablub'
Dann könnte jemand ja hingehen und die Eingabe verändern und womöglich Befehle wie DROP TABLE aufrufen:
z.B.:
Code:
http://meine-Homepage.de/Test.php?username=''
Das Problem ist, dass ich die Parameter übergeben muss, weil ich die php Datei über mein Programm aufrufe. In der PHP Datei sieht der
SQL Befehl ja wiefolgt drin:
Code:
$sqlabfrage = "SELECT * FROM user WHERE name='$username' ";
Weisst du nun was ich meine?