SQL-Injektionen in ADOdb und allgemeine Website-Sicherheit
Ich habe ziemlich viel gelesen und verstehe immer noch nicht zu 100%, wie einige der SQL-Injektionen ablaufen!
Ich würde gerne konkrete Beispiele für SQL-Injection anhand meines Beispiels sehen, damit es repliziert, getestet und behoben werden kann. Ich habe versucht, SQL in meinen Code einzufügen und konnte es nicht. Deshalb möchte ich, dass jemand mir etwas anderes beweist!
Ich habe Recht, dass SQL-Injection NUR mit POST- oder GET-Methoden erfolgen kann, was bedeutet, dass es sich auf der Website um das Post-Formular handeln sollte, z. "Anmelden oder suchen" oder eine Abfrage wie "search.php? tags = love"?
Sagen Sie, dass dies möglich ist, um den folgenden Code mit der POST-Methode einzufügen?
$name = trim($_POST['username']);
$mail = trim($_POST['email']);
$password = trim($_POST['password ']);
if ($errors == "false") {
$sql =
"INSERT INTO
clients
SET
name='" . mysql_real_escape_string($name) . "',
mail='" . mysql_real_escape_string($mail) . "',
password='" . mysql_real_escape_string(sha1($password)) . "'";
$connection->execute($sql);
}
2. Der andere hat GET-Methode:rate.php?like&videoID=250&userID=30
$sql =
"SELECT
videoID
FROM
likes
WHERE
videoID = '" .mysql_real_escape_string($videoID). "' AND UID = '" .mysql_real_escape_string($userID). "' LIMIT 1";
$connection->execute($sql);
Bitte helfen Sie denen, die sich mit dem Thema frei fühlen, aber verwenden Sie die konkreten Beispiele.
Danke im Voraus,
Ilia