Hoi,
ik heb dit script gemaakt voor mijn site :
PHP
<html>
<head>
<title><?php echo $page->sitetitle; ?></title>
</head>
<body>
<?
// basis voor elk script
include("_include-config.php");
if(! check_login()) {
header("Location: login.php");
exit;
}
// Codes voor het ophalen van de game
if($_GET['soort'] != ""){
$_GET['soort'] = $_GET['soort'];
$dbres = mysql_query("SELECT * FROM `games` WHERE `sitenaam`='{$_GET['soort']}'");
while($cms = mysql_fetch_object($dbres)){
?>
<link rel="stylesheet" type="text/css" href="<? echo $sitelink;?>/layout/layout<?php echo $page->layout; ?>/css/css.css">
<table align="center" width=100%>
<tr><td class="subTitle"><b><center><?=$cms->sitenaam;?></center></b></td></tr>
<tr><td class="mainTxt">
<center><?=$cms->flash;?></center>
</td></tr></table>
<?
}
} else {
$dbres = mysql_query("SELECT * FROM `games` WHERE `onzichtbaar`='1'");
while($cms = mysql_fetch_object($dbres)){
echo $cms->flash;
}
}
?>
</body>
</html>
Toon Meer
Hij controleert nu of het spel in de database is
zoja dan laadt hij het spel.
en mocht er geen ?soort= ingevuld zijn dan toont hij netjes Ga terug.
Maar als je : ?soort=(*zelf invullen*) invult dan geeft hij niks weer.
dus mensen kunnen zo een mysql injection uitvoeren ?
kan iemand mijn helpen met die beveiliging ?
ik ben de hele dag al bezig maar ik ben nog niet geslaagd.