if ($conn->connect_error) {
//breek de code hier af als de verbinding mislukt
die("Verbinding met de databank is mislukt: " . $conn->connect_error);
}
//selecteer alle rijen van de tabel 'articles'
$sql = "select * FROM mp3 WHERE id_dj=$id and artiest=$art";
En ik herhaal nog even de belangrijke tip van Ariën: "Lees je ook in over SQL Injection, want jan-en-alleman kunnen je query nu ook misbruiken!"
?Onbekende gebruiker
01-12-2022 23:07
Ik waardeer de pogingen, maar.. heeft het echt zin om iedereen elke keer weer, continu op SQL injectie te wijzen?
Het is de 3e meest voorkomende fout die in software gemaakt wordt (CWE-89): https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html
De fout is te voorkomen met goed onderwijs en discipline.
Het betekent ook dat veel programmeurs hun vak niet verstaan.
Ondanks dat er veel op internet over te vinden is, inclusief hoe je het kan voorkomen. Maarja, dan moeten mensen het wel lezen...
Je moet ook zien wat voor schade een lek kan aanrichten. Even niet specifiek gericht op SQL-injection: de ledengegevens van de FvD liggen ook op straat door vermoedelijk een brakke backend. Het had net zo goed ook SQL-injection zijn geweest.
En ja, ik heb in het verleden ooit eens bij toeval in een grote bekende nieuwssite een SQL-injection gevonden in een stuk deprecated URL, en ik kon vrolijk met SQLmap door de hele database bladeren, en mogelijk (als ik de juiste rechten had, heb ik niet getest) een nieuwsartikel maken.
Ook blijven op hameren op goede wachtwoorden.
Belgische politie alles openbaar wachtwoord gewoon geraden :( Gelukkig slechts 1 zone (waar we van weten)
