Marius Heil
Erfahrenes Mitglied
Hi,
mir ist grad voller schrecken eingefallen, dass eine MySQL Abfrage wie:
ohne größere Probleme manipuliert werden wenn man die GET Variable für die ICQ Nummer manipuliert und die Anfrage somit erweitert. Man kann dann einfach seine Punkte aufpolieren.
Muss ich nun alle GET oder POST Variablen vorher kontrollieren? Bei Werten die in "" gesetzt sind, dürfte es nciht weiter schlimm sein, da beim hinzufügen eines " über die GET-Variable sofort ein Escapezeichen davorgesetzt wird.
Wie kontrolliere ich Integer Werte am einfachsten? Einfach vorher in nen Integer Wert konvertieren?
Marius
mir ist grad voller schrecken eingefallen, dass eine MySQL Abfrage wie:
PHP:
'UPDATE benutzer SET name="'.$_GET['name'].'" icq='.$_GET['icq'].' WHERE ID=78'
Muss ich nun alle GET oder POST Variablen vorher kontrollieren? Bei Werten die in "" gesetzt sind, dürfte es nciht weiter schlimm sein, da beim hinzufügen eines " über die GET-Variable sofort ein Escapezeichen davorgesetzt wird.
Wie kontrolliere ich Integer Werte am einfachsten? Einfach vorher in nen Integer Wert konvertieren?
Marius