-2
Ich schreibe eine Website, wo ich eine SQL-Abfrage müssen übergeben um den Benutzer auf eine Seite bringen .... event = (ich weiß, es braucht Post zu sein, wie erhalten zu debuggen läuft)Chopping Eingang in HTML POST
(ROW interne ID wird aus einer SQL-Abfrage bekommen) (die SQL normalerweise ist auch eine Variable übergeben)
Apache/2.4.18 (Win32) OpenSSL/1.0.2e PHP/7.0.6
Database client version: libmysql - mysqlnd 5.0.12-dev - 20150407 - $Id:241ae00989d1995ffcbbf63d579943635faf9972 $
PHP extension: mysqli Documentation
PHP version: 7.0.6
Server Windows 7 64 (Its a school project)
Ich mache etwas wr mit dem versteckten Eingang?
<form action='' method='get'>
<textarea name ='comment' rows='4' cols = '50' value =''></textarea>
<button type='createcomment' name='createcomment' value='createcomment'>
Comment
<input type = 'hidden' name = 'internal_id' value ={$row["internal_id"]}</>
<input type = 'hidden' name = 'sql' value ='"SELECT * FROM `create_event` WHERE `eventStatus` = 'Happening' and 'approved' = 'Approved'"'</>
</button>
</form>
Postleitzahl php
<?php
if(isset($_POST['createcomment'])){
echo($_POST['sql']);
}
echo("
<form action='' method='post'>
<textarea name ='comment' rows='4' cols = '50' value =''></textarea>
<button type='createcomment' name='createcomment' value='createcomment'>
Comment
<input type = 'hidden' name = 'sql' value ='SELECT * FROM `create_event` WHERE `eventStatus` = 'Happening' and 'approved' = 'Approved' '</>
</button>
</form>
");
?>
'GET' URL eine Begrenzung von 256 Zeichen. Wundert nicht. Verwenden Sie "POST" und lassen Sie uns wissen, ob das Problem weiterhin besteht. –
Übergabe der gesamten SQL-Abfrage an das Skript über URL. Ist das eine neue Form der SQL-Injection-Attacke, die ich nicht kannte? – D4V1D
In der Praxis wird es per Post – hockeyfreak863