sql injection
 

Hallo Expert*innen
ich lese in meiner index.php eine Tabelle sprueche mit folgendem Code:
Dabei kommt es zu keiner Eingabe eines users. Ich sende mir alle aufgetretenen Fehler per mail und erhalte seit einigen Tagen Unmengen von Fehlern mit Misstaltungen des SQL Befehls. Wie z.B.
select * from sprueche_en/A=0 where id=?

Ich bin 72 Jahre alt und habe einige Erfahrungen mit anderen Sprachen. Da muss wohl jemand auf meinen Server zugreifen können, denn der Code ist ja für einen Client nicht sichtbar. Das ganze ist mir unheimlich und macht mir Sorgen.
Was kann da passieren und wie kann ich das verhindern?
Besten Dank für Rat.
Grüße aus Salzburg

AW: sql injection
 

Guten Morgen Uwe,

wo kommt die Variable $sprache her?

Ansonsten gilt das gleiche wie hier schon mal geschrieben.

PS: Benutze nie "SELECT *"! Schreibe immer die Feldnamen rein, die Du wirklich (nur) benötigst.

AW: sql injection
 

Danke für die rasche Antwort. Die Variable $sprache kommt aus einer Session und wird durch den click auf eine Fahne ausgelöst.
Werde die Ratschläge berücksichtigen

AW: sql injection
 

Und dieser Click wird mit $_GET an Dein Script übergeben? Oder wie übernimmst Du den Wert des Clicks?

Vermutlich mittels http://www.example.com/index.php?sprache=en.
Dies machen sich die bösen Buben zu Nutze und starten ihre Angriffe.
Prüfe - wie bereits geschrieben - die Werte auf Gültigkeit in $_GET bevor Du sie in $_SESSION übernimmst.

Schaue Dir in diesem Zusammenhang auch die Funktion htmlspecialchars an