Praktisk spørgsmål vedr. sikkerhed med SQL via URL
Hej alle,Jeg har et test site på min WAMP localhost server, hvor jeg tester div. sikkerheds ting. En af disse er SQL Injection.
Jeg forsøger at smide en "insert" sætning igennem, men jeg har det lidt sådan, at jeg vil forstå hvorfor at jeg ikke kan få det til at virke. Jeg ved at min kode:
$sql = "SELECT * FROM persons WHERE id=".$_GET["pid"];
$result = mysql_query($sql);
while( $row = mysql_fetch_assoc($result) ) {
// ect ect
}
IKKE lukker af for noget som helst. Før jeg lukker af for tingene bliver jeg nød til at vide hvorfor at mit "insert" ikke vil virke.
Her er mit bud:
?pid=2; INSERT INTO test_table (name) VALUES ('test')
Er hvad jeg får, men intet indsat til databasen.
Warning: mysql_fetch_assoc() expects parameter 1 to be resource, boolean given in C:\wamp\www\uge3\person_details.php on line 36
Er der nogle som ved lidt mere om dette, som kan fortælle hvorfor at jeg ikke kan få dette til at virke?
ps:
Det skal bruges til en guide jeg er ved at skrive i forbindelse med at mine kursister skal lærer om sikkerhed, nærmere SQL Injection. Derfor mener jeg at det er ret så vigtigt at jeg kan demonstere så de får den opfattelse jeg ønsker de skal have.
Hvis mit spørgsmål ikke er tilladt, så lukker jeg gerne, men håber dog at det er ok.
På forhånd tak.
