PHP SQL injection prevention for 2moons 1.3v

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • PHP SQL injection prevention for 2moons 1.3v

      HI~~
      For php sql injection prevent

      My 2moons code is 1.3 base version.

      There is one big problem.
      It is input by POST or GET and executed in php ($ mode = request_var ('mode', '');).
      However, I found that the user could arbitrarily modify the data.

      Because of the large number of pages, it is difficult to modify all request_var.
      The following 2moons is the source, Please help me.



      Download : 2moons 1.3 download
      --------------------------------------------------------------------------------------
    • ich befürchte da gibt es keinen einfachen weg,
      die lösung damals war mysql_real_escape_string() oder mysqli_real_escape_string(), je nach php version.(du solltest mysqli oder pdo nutzten)
      entweder du benutzt diese oder änderst den zugriff auf die db in pdo(prepared statments).
      mir fällt leider kein anderer weg ein.
      mysqli_real_escape_string() musst du für jede variable machen die vom user kommt(_POST / _GET).
      alle _POST und _GET variablen im spiel suchen und mit mysqli_real_escape_string() ausstatten ist der leichtere weg.
      mit pdo ändert sich die syntax der abfragen,sodas das die deutlich längere arbeit wäre.