Hallo!
Ich bin gerade dabei ein Gästebuch zu programmieren.
Nun möchte ich dieses auf Sicherheit testen und bin dabei auf die SQL-injection gestoßen.
Ich hab gegoogled und habe dann versucht diese SQL-injection an meinem Gästebuch zu testen.
Die SQL-Befehle hab ich als Gästebuchnachricht eingegeben.
Könnte mir wer sagen ob ich mit meinem Gästebuch sicher bin oder was ich noch verändern muss ?
hier mal der PHP teil meines codes :
PHP
<?php
if ( $_POST['eintrag'] != "" )
{
echo "<h2>Eintrag speichern</h2>";
$sql = " INSERT INTO gaestebuch ";
$sql .= " SET ";
$sql .= " name ='". $_POST['name'] ."', ";
$sql .= " email ='". $_POST['email'] ."', ";
$sql .= " url ='". $_POST['url'] ."', ";
$sql .= " datum ='". date("Y-m-d H:i:s") ."', ";
$sql .= " eintrag ='". $_POST['eintrag'] ."' ";
echo "<hr />Inhalt der Variablen $ sql : $sql<hr />";
define ('MYSQL_HOST', 'localhost');
define ('MYSQL_BENUTZER', 'root' );
define ('MYSQL_KENNWORT', '');
define ('MYSQL_DATENBANK', 'projekt');
$db_link = @mysql_connect (MYSQL_HOST, MYSQL_BENUTZER, MYSQL_KENNWORT);
if ( ! $db_link)
{
die('keine Verbindung zur Zeit möglich - später probieren ');
}
$db_sel = mysql_select_db( MYSQL_DATENBANK )
or die("Auswahl der Datenbank fehlgeschlagen");
$db_erg = mysql_query($sql);
if ( ! $db_erg)
{
die('Ungültige Abfrage: ' . mysql_error());
}
echo '<p><a href="gaestebuch.php">Gästebuch anzeigen</a></p>';
exit;
}
?>
Alles anzeigen