Waarom zou je je url niet gewoon hier plaatsen? Dan kan iedereen alles kapot maken.

Maar goed even serieus. Je gebruikt PDO. Als je PDO gewoon goed bestudeerd zie je dat ze gebruik maken van prepared statements. Gebruik je overal netjes prepared statements dan kan ik je nu al zeggen dat je gewoon met je injecties goed save zit. Beetje jammer als je geen prepared statements gebruikt dan had je net zo goed mysql 3.0 ofzo kunen geburuiken.

Hier een voorbeeldje van prepeared statements

$q = $db->prepare("INSERT INTO items (naam, waar) VALUES (:naam, :waard)");
$q->bindParam(':naam', $naam);
$q->bindParam(':waarde', $waarde);
$q->execute();

Stuur maar een PM linkje dan als ik tijd heb kijk ik even.

Maikel heeft trouwens wel gelijk, gebruik geen PDO als je geen prepared statements gebruikt.

Sql injections zijn heus niet het enige dat je wilt testen Ik denk dat je inderdaad best gewoon je link hier post zodat iedereen het kan proberen.

Ik heb ooit een presentatie gevolgd over OWASP ZAP
https://www.owasp.org/index.php/OWAS…k_Proxy_Project

misschien moet je dat eens bekijken?

Citaat van Quitta

Sql injections zijn heus niet het enige dat je wilt testen Ik denk dat je inderdaad best gewoon je link hier post zodat iedereen het kan proberen.

Ik heb ooit een presentatie gevolgd over OWASP ZAP
https://www.owasp.org/index.php/OWAS…k_Proxy_Project

misschien moet je dat eens bekijken?

Hallo,

Interessant, bedankt!

@TS, heb je zoals vermeld prepared statements gebruikt MET(!!!) bindParam methodes, dan is een SQL injectie niet mogelijk. Let wel op, werk je met prepared en zonder bindParam, dan is dit nog wel mogelijk.

Mvg,
Tim