Forum webmasterów

[sql]$ls = mysql_query("SELECT * FROM users WHERE first='$login' AND pass='$pass'");
$login_spr = mysql_num_rows($ls);[/sql]


Czy jest mozliwosc uzycia w tym zapytaniu ataku SQL Injection, a dokladnie chodzi mi o usuniecie tabeli za pomocą DROP TABLE users... probowalem ale zawsze mam blad zapytania...[/sql][/code]

Według mnie istnieje prawdopodobieństwo ataku ponieważ gdyby np jako zmienną $login i $pass które sądząc po opisie pobierasz z formualrza wpisać odpowiednio :
$login = "' or '1' = '1";
$pass = "' or '1' = '1";
i cała baza jego
Na przyszlość radze ci używaj funkcji addslashes() lub podobnej aby uniknąć takiego błędu
O tej funkcji możesz poczytać: http://pl.php.net/addslashes