Thema: Delphi Online Highscore liste

Einzelnen Beitrag anzeigen

Benutzerbild von mleyen
mleyen

Registriert seit: 10. Aug 2007
609 Beiträge
 
FreePascal / Lazarus
 
#5

Re: Online Highscore liste

  Alt 14. Feb 2009, 15:38
Ne, die manuelle Aufrufmöglichkeit kann man ja mit einer eigenen Verschlüsselung und sid erschweren.

Ich kenne mich in php/mysql leider noch nicht so aus.
Aber was ich bis jetzt so gehört habe ala "MySQL-Injection" etc. macht mich immernoch ein bisschen misstrauisch.

Am besten mach ich das an einem Beispiel klar:
Dein SQL-Kommando sieh wie folgt aus:
Code:
$sql = "INSERT INTO HSTEST (name,punkte) VALUES ('$name','$punkte')";
mysql_query($sql);
Was würde jetzt passieren, wenn der User folgendes als Namen angibt:
$name = "blupp', '10'); Drop Database;"

Dann ständ in dem SQL-Kommando doch folgendes:
Code:
INSERT INTO HSTEST (name,punkte) VALUES ('1', '10'); Drop Database; ', '0')
Wenn das dann ausgeführt wird, ist dann nicht die ganze Datenbank futsch?
Jetzt wollte ich fragen, ob man wirklich gegen Angriffe solcher Art "sicher" ist?

(Am besten nutz ich erstmal gar keine DB, sondern lass alles in txt dateien speichern.)
  Mit Zitat antworten Zitat