Mailinglisten-Archive |
Hallo, Am Sonntag, 11. März 2007 19:23 schrieb Nico Haase: > Hallo Thomas, > > Thomas Letzner schrieb: > > >>>>>>>>>>>>>><<verify.php<<<<<<<<<<<<<<<<<<<<<<<<<< [...] > > > > $query = "SELECT password, level, email FROM login WHERE username = > > '".$username."'"; > > Das riecht nach deaktiviertem register_globals, was ja auch gut so > ist. Ersetz $username mal durch $_POST['username'] und mach dich über > register_globals schlau ;) und vor allem keine Benutzereingaben ungeprüft und ungefiltert ins Skript übernehmen, geschweige denn in SQL-Befehle. :-) Zur Maskierung von Zeichenketten zur Verwendung in SQL-Befehlen siehe auch: http://de.php.net/manual/de/function.mysql-real-escape-string.php Viele Grüße Lutz
php::bar PHP Wiki - Listenarchive