phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] SQL Inject

Mike Hubner hubner_mike at lycos.com
Die Jul 18 10:06:40 CEST 2006

Vorherige Nachricht: [php] String auf UTF-8 prüfen oder die Frage "kodiert oder nicht"?
Nächste Nachricht: [php] SQL Inject
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hi!

Ich bin gerade am security sachen ausprobieren, und deshalb ich
ich PHP script laut http://www.phpbar.de/w/Injection präpariert.

Um bei der Eingabe vom username mit  " or 1 /*  einloggen zu können.

Also der code so:

$sql = 'SELECT COUNT(*) as eingeloggt
2           FROM users
3          WHERE username = "'.$_POST['username'].'"
4            AND password = MD5("'.$_POST['password'].'")';
5  $result = mysql_query($sql);
6  if (!$result) {
7      trigger_error('MySQL Fehler: '.mysql_error(), E_USER_ERROR);
8  }
9  // mit $result arbeiten...

Das funktioniert soweit auf meinen localen rechner ( Apache 2.0, MySQL 5, PHP 5.1 ), 
jetzt habe ich aber den code nen Server bei nem Provider raufgelegt, und siehe da, der gleiche
code, mit gleicher Datenbankdaten ect. funktioniert nicht, sprich das login schlägt fehl.

Ich kann mir nur vorstellen das es eine option gibt um bei MySql mehrzeile Kommentare
zu verbieten oder sowas in der Art.

Ich hoffe jemand kann mir einen Tip geben warum das beim INET provider nicht funktioniert
Local aber schon. register_globals ist bei beiden auf "ON".

Mfg Mike..

-- 
_______________________________________________

Search for businesses by name, location, or phone number.  -Lycos Yellow Pages

http://r.lycos.com/r/yp_emailfooter/http://yellowpages.lycos.com/default.asp?SRC=lycos10

Vorherige Nachricht: [php] String auf UTF-8 prüfen oder die Frage "kodiert oder nicht"?
Nächste Nachricht: [php] SQL Inject
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive