SQL-Injection möglich oder nicht?

Es hängt auch davon ab, wie das Ganze implementiert ist. Zudem war Felix’ Beispiel etwas fehlerhaft.
PHP: 
$foo = "admin' --";
$bar = "";

$sql = "SELECT * FROM `table` WHERE `username` = '$foo' AND `passwort` = '$bar'";
 
Über die Sinnhaftigkeit von PDO/Propel/AdoDB selbst bei nur einem DB System gibt es nichts zu streiten, jeder der noch Queries ala SELECT * FROM in Variablen hackt sollte sich die Systeme genau anschauen, schon alleine wegen der Schadcodefilter.

Zum Thema passend:
exploits_of_a_mom.png
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück