989 views
Gelukt :) TY
Verwacht je nu serieus dat iemand jouw 260 regels code regel voor regel gaat controleren??
Geef aan waarover je twijfelt en plaats alleen relevante code. Op deze manier heeft het geen zin.
Geef aan waarover je twijfelt en plaats alleen relevante code. Op deze manier heeft het geen zin.
als je nou bij elke query alle strings vervangt door mysql_real_escape_string($string) moet je goed zitten. Dat is het snelste antwoord dat ik kan geven want zoals Ozzie al zei, 268 regels op een zaterdag avond doornemen is een beetje verspilling van mijn tijd.
Wilde graag weten of er via dit login script van mij een simpele SQL injection kan worden uitgevoerd
ik heb heel snel even gekeken, ja dat kan denk ik. ik ben niet goed met sql-injection maar je $custid komt van $_POST['custid'] en die staat niet bewaakt in de query op regel nr 97
Albert de Wit op 13/10/2012 23:38:43
ik heb heel snel even gekeken, ja dat kan denk ik. ik ben niet goed met sql-injection maar je $custid komt van $_POST['custid'] en die staat niet bewaakt in de query op regel nr 97
$custid wordt door een function gehaald: check_int($custid)
Echter er is geen zicht op wat die function doet.
En $username wordt wel direct in een query gezet:
Dus sql-injection is mogelijk.
Heb totala geen verstand hoe een SQL injection werkt, kun je een voorbeeld geven hoe dit gedaan kan worden via de webbrowser
[size=xsmall]Toevoeging op 15/10/2012 20:02:06:[/size]
Heb totala geen verstand hoe een SQL injection werkt, kun je een voorbeeld geven hoe dit gedaan kan worden via de webbrowser
[size=xsmall]Toevoeging op 15/10/2012 20:02:06:[/size]
Heb totala geen verstand hoe een SQL injection werkt, kun je een voorbeeld geven hoe dit gedaan kan worden via de webbrowser
Ik zal doorlezen, kun je zelf voorbeeld geven voor me?
