|
AW: Sicher vor SQL Injections?
Mach dir mal ein HTML-File mit dem Formular und schreib im Benutzerfeld folgendes rein:
1' OR '1'='1
ODER
1'; DROP DATABASE 'dbname
Dann weisst du's.
Besser: $benutzer = preg_replace("'[^A-Z]'", "", $_POST['Benutzer']);
|