nicht angemeldet
Mahlzeit Satori,
mysql_connect(Host,Name,Pass) or die("Konnte Datenbankverbindung nicht herstellen");
mysql_select_db(DB) or die("Konnte Datenbank konnte nicht gefunden werden");
echo ("<center><a href=neu.php >Schreib, was dich bewegt!! Schreib in unser Blog und die ganze Welt kann es lesen!!!</a></center><br><table bgcolor=#FFFBE2 ><tr><td>
Du möchtest Dich GANZ DRINGEND mit dem EVA-Prinzip vertraut machen!
neu.php
<html>
<h2>Schreib was dich bewegt !! BETA-Version</h2>
<form action="save.php" method="POST">
Autor <input type="text" name="au" value=""/>
<br />
<textarea name="in" rows="20" cols="100"></textarea>
<br />
<input type="submit" name="submit" value="Eintragen" />
<input type="reset" name="submit" value="Zurücksetzen" />
</form></html>
>
>
> save.php
Du möchtest GANZ DRINGEND die Grundlagen von [Affenformularen](http://de.wikipedia.org/wiki/Affenformular) kennenlernen!
> $sql = "INSERT INTO news(aut, inh, dat) Values('{$\_POST['au']}', '{$\_POST['in']}', NOW())";
> mysql\_query($sql);
Es ist eine GANZ SCHLECHTE Idee, Daten von irgendwoher einfach so ungeprüft in einer SQL-Abfrage zu verwursten - merke: ALL INPUT IS EVIL!
Du weißt nicht, wer was für einen Müll in Deine Formulare eingibt - geschweige denn, dass Du weißt, ob Deine Formulare überhaupt benutzt werden, um Deiner Datenbank [Fieslichkeiten](http://de.wikipedia.org/wiki/SQL_Injection) unterzujubeln.
Du möchtest Dich also GANZ DRINGEND darüber informieren, wie Daten für MySQL [aufbereitet](http://de.php.net/mysql_real_escape_string) werden!
MfG,
EKKi
--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|