SQL Update mit injection [PHP]

Du meinst den Code ne?
PHP: 
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
aber wie soll ich das da einbauen?
 
genau so wie es da steht :)

die zuweisenden werte einfach mit '%s' ersetzen und mit
mysql_real_escape_string() nach der reihe zuweisen
 
Als Beispiel:

PHP: 
$sql = "INSERT INTO `table` (`beispiel`) VALUES ('".mysql_real_escape_string($beispiel)."')";
 
Ich habe es verstanden! Danke

Hier ich habe den Code gekürzt.
PHP: 
<?php

mysql_connect("localhost","root","") or die
("Keine Verbindung moeglich");
mysql_select_db("test") or die
("Die Datenbank existiert nicht");
 
echo '
<form action="test.php" method="post">
<table>
<tr><td colspan="2">Nachricht:<br>
<textarea name="nachricht" cols="35" rows="8"></textarea><td></tr>
<tr><td colspan="2"><input type="submit" value="Eintragen" name="senden"></td></tr>
</table>
</form>
';
if($_POST["senden"] == "Eintragen"){
$query = "INSERT INTO `test` (`nachicht`) VALUES ('".mysql_real_escape_string($_POST['username'])."')";  
$eintragen = mysql_query($query);
if($eintragen){
echo 'Eintrag hinzugefuegt';

}
}

?>

Vielen Dank an alle!
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück