Es tut sich immer noch nichts.
Wenn ich die angegebenen Daten in das Feld name eingebe, kommt folgende Fehlermeldung:
Ungültige Abfrage: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP DATABASE;', email ='', url ='', datum ='2011-03-11 12:29:53', eintrag ' at line 1
Wie würde den eine genaue SQL injection lauten, mit der man mein Gästebuch überlisten könnte?
Denn wenn ich ein SQL Befehl als Gästebucheintrag verwende, wird dieser in eine Variable gespeichert und verändert somit nicht mein Quellcode, sondern wird einfach als Gästebucheintrag ausgegeben.
Hallo!
Ich bin gerade dabei ein Gästebuch zu programmieren.
Nun möchte ich dieses auf Sicherheit testen und bin dabei auf die SQL-injection gestoßen.
Ich hab gegoogled und habe dann versucht diese SQL-injection an meinem Gästebuch zu testen.
Die SQL-Befehle hab ich als Gästebuchnachricht eingegeben.
Könnte mir wer sagen ob ich mit meinem Gästebuch sicher bin oder was ich noch verändern muss ?
hier mal der PHP teil meines codes :
<?php
if ( $_POST['eintrag'] != "" )
{
echo "<h2>Eintrag speichern</h2>";
$sql = " INSERT INTO gaestebuch ";
$sql .= " SET ";
$sql .= " name ='". $_POST['name'] ."', ";
$sql .= " email ='". $_POST['email'] ."', ";
$sql .= " url ='". $_POST['url'] ."', ";
$sql .= " datum ='". date("Y-m-d H:i:s") ."', ";
$sql .= " eintrag ='". $_POST['eintrag'] ."' ";
echo "<hr />Inhalt der Variablen $ sql : $sql<hr />";
define ('MYSQL_HOST', 'localhost');
define ('MYSQL_BENUTZER', 'root' );
define ('MYSQL_KENNWORT', '');
define ('MYSQL_DATENBANK', 'projekt');
$db_link = @mysql_connect (MYSQL_HOST, MYSQL_BENUTZER, MYSQL_KENNWORT);
if ( ! $db_link)
{
die('keine Verbindung zur Zeit möglich - später probieren ');
}
$db_sel = mysql_select_db( MYSQL_DATENBANK )
or die("Auswahl der Datenbank fehlgeschlagen");
$db_erg = mysql_query($sql);
if ( ! $db_erg)
{
die('Ungültige Abfrage: ' . mysql_error());
}
echo '<p><a href="gaestebuch.php">Gästebuch anzeigen</a></p>';
exit;
}
?>