$sql ="
SELECT
ID, betreff, text, datum, status
FROM
".$prefix."_kampfberichte
WHERE
empfaenger = '".$session['login_id']."'
ORDER BY
ID DESC
LIMIT
".$seite.",10";
$result = mysql_query($sql) OR die(mysql_error());
das $seite ich bekomms nicht hin das dort keine injeciton entsteht
mit addslashes und htmlentitis gefiltert dan mal '".."' <- bei dem kommt aber bei korrekter eingabe auch ein error und und und..
helft mir xD
Die einzigste lösung bis jetzt das ich es einmal durch floor() werfe..
gibts aber andere lösungen?
Ergebnis 1 bis 4 von 4
-
04.09.2008, 05:46 #1CIH-Virus
- Registriert seit
- 02.12.2007
- Beiträge
- 420
SQL Injection in limit bekomm sie nicht weg xD
-
04.09.2008, 10:50 #2Tsutomu Shimomura
- Registriert seit
- 15.02.2006
- Beiträge
- 1.549
wenn du php 5 benutzt, kannst du die schnittstelle "mysqli_stmt_bind_param" benutzen.
wenn du damit die variablen übergibst, übernimmt php für dich die prüfung.
-
04.09.2008, 14:00 #3BackNine Wurm
- Registriert seit
- 08.04.2007
- Beiträge
- 309
Ich gehe mal davon aus das $seite ein Integer ist?
Wie wärs mit
?Code:if (is_numeric($seite)) { // SQL Abfrage } else { // Fehler oder standardwert oder so }
Mfg
ChaosEine Regierung muß sparsam sein, weil das Geld, das sie erhält, aus dem Blut und Schweiß ihres Volkes stammt.
Es ist gerecht, daß jeder einzelne dazu beiträgt, die Ausgaben des Staates tragen zu helfen. Aber es ist nicht gerecht, daß er die Hälfte seines jährlichen Einkommens mit dem Staate teilen muß.
Friedrich II. der Große
-
04.09.2008, 14:40 #4NoClose Wurm
- Registriert seit
- 09.06.2007
- Beiträge
- 169
$sql ="
SELECT
ID, betreff, text, datum, status
FROM
".$prefix."_kampfberichte
WHERE
empfaenger = '".$session['login_id']."'
ORDER BY
ID DESC
LIMIT
".intval($seite).",10"; :wink:
Zitieren
