Overleg:SQL-injectie
Onderwerp toevoegenUiterlijk
Laatste reactie: 16 jaar geleden door Taka
"Daarbij wordt gebruik gemaakt van de apostrof." Dat is niet helemaal waar he. Het voorbeeld dat wordt gegeven kan in sommige situaties ook zonder apostrof, als de programmeur die ook niet gebruikt. De invoer x OR 1=1 zal dan ook resultaat opleveren. DeJaVu3 17 mei 2007 17:05 (CEST)
- Nee, dat gaat niet werken. In elk geval niet in het gegeven voorbeeld. Kan je een uitgeschreven voorbeeld noemen waar jouw suggestie werkt? Taka 18 mei 2007 06:53 (CEST)
- In PHP:
- $order = $_GET['order'];
- $qry = "SELECT * FROM tabel ORDER BY $order";
- Als $order nu fieldx; -- DELETE tabel is, (en een database wordt gebruikt die meerdere queries tegelijk toestaat, of mysqli_multi_query()) wordt de tabel weggegooid, zonder dat er een apostrof aan te pas kwam. De vraag is hoever dit artikel moet gaan. - Styck 18 mrt 2008 13:24 (CET)