Ich muß hier überhaupt nix beweisen!
Und ja du hast es nicht verstanden und das ist auch so gut.Den Leute wie du sind die ersten die versuchen dies dann auszunutzen (script Kids).
Soviel will ich dir noch verraten es handelt sich nicht um eine Binär Schreibweise. Url Code schaun da etwas anderes aus Bsp. %23 unsw.
Wobei das nicht die einzige Schreibweise ist wie man Escape Zeichen umgehen kann.
Nun ob du deine Scripte umschreibst oder nicht bleibt allein dir überlassen.
Und die HAKIN9 empfiehlt sogar den Gebrauch der Funktion Ausgabe 2/2008 (32) Seite 36 Ab Titel Schutzmaßnahmen.
Warum auch sollte man keine Schutzmaßnahmen empfehlen?
Ein wenig Schutz ist immer noch besser als garkein Schutz!
(Bei php4 gibst leider noch nicht die besseren Schutz methoden viele sind erst ab php5 möglich.)
Und sag jetzt nicht, das ist zu gefährlich einfach weiter zu geben, wir sind hier unter ern und man sollte doch schon wissen vor was man sicher schützen muss und wie man es kann. Dieses geht am einfachsten, wenn man den Angriff analysieren kann
Wie man sich davor Schützen kann hab ich bereits genannt dazu muß man nicht alle Angriff Methoden kennen.
Du mußt einfach nur Aktzeptieren das es so ist.
(PDO oder Mysqli richtig angewand bieten hier deutlich den besseren Schutz)
Der Grund hierfür liegt bei der Trennung zwischen Werten von Aussen und dem Sql befehl. Einige Sprechen sogar davon das dadurch nun die Methoden imum sei gegen Sql injection.
Da für die Trennung ein eigener Treiber verwendet wird. Der explizit sagt das dieser Teil nicht als sql befehl zu prasen ist.
Hier noch ein kleine Anleitung wie man PDO einsetzt:
http://www.php-resource.de/handbuch/ref.pdo.htm
Mfg Splasch
