PHP SQL injection prevention for 2moons 1.3v

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • PHP SQL injection prevention for 2moons 1.3v

      For php sql injection prevent

      My 2moons code is 1.3 base version.

      There is one big problem.
      It is input by POST or GET and executed in php ($ mode = request_var ('mode', '');).
      However, I found that the user could arbitrarily modify the data.

      Because of the large number of pages, it is difficult to modify all request_var.
      The following 2moons is the source, Please help me.

      Download : 2moons 1.3 download
      My version is 2moons 1.3v . :D But all fixed bug and more then mod added.
      Test universe: 1
      ID:2moons pw:1234
    • ich befürchte da gibt es keinen einfachen weg,
      die lösung damals war mysql_real_escape_string() oder mysqli_real_escape_string(), je nach php version.(du solltest mysqli oder pdo nutzten)
      entweder du benutzt diese oder änderst den zugriff auf die db in pdo(prepared statments).
      mir fällt leider kein anderer weg ein.
      mysqli_real_escape_string() musst du für jede variable machen die vom user kommt(_POST / _GET).
      alle _POST und _GET variablen im spiel suchen und mit mysqli_real_escape_string() ausstatten ist der leichtere weg.
      mit pdo ändert sich die syntax der abfragen,sodas das die deutlich längere arbeit wäre.