Ich habe ziemlich viel gelesen und verstehe immer noch nicht zu 100%, wie einige der SQL-Injektionen ablaufen!

Ich würde gerne konkrete Beispiele für SQL-Injection anhand meines Beispiels sehen, damit es repliziert, getestet und behoben werden kann. Ich habe versucht, SQL in meinen Code einzufügen und konnte es nicht. Deshalb möchte ich, dass jemand mir etwas anderes beweist!

Ich habe Recht, dass SQL-Injection NUR mit POST- oder GET-Methoden erfolgen kann, was bedeutet, dass es sich auf der Website um das Post-Formular handeln sollte, z. "Anmelden oder suchen" oder eine Abfrage wie "search.php? tags = love"?

Sagen Sie, dass dies möglich ist, um den folgenden Code mit der POST-Methode einzufügen?

$name     = trim($_POST['username']);
$mail     = trim($_POST['email']);
$password = trim($_POST['password ']);

   if ($errors == "false") {
    $sql = 
        "INSERT INTO 
           clients 
         SET 
           name='" . mysql_real_escape_string($name) . "',
           mail='" . mysql_real_escape_string($mail) . "', 
           password='" . mysql_real_escape_string(sha1($password)) . "'";
           $connection->execute($sql);

    }

2. Der andere hat GET-Methode:rate.php?like&videoID=250&userID=30

$sql = 
    "SELECT 
        videoID 
     FROM 
        likes 
     WHERE 
        videoID = '" .mysql_real_escape_string($videoID). "' AND UID = '" .mysql_real_escape_string($userID). "' LIMIT 1";
        $connection->execute($sql);

Bitte helfen Sie denen, die sich mit dem Thema frei fühlen, aber verwenden Sie die konkreten Beispiele.

Danke im Voraus,
Ilia