Tach!

Gib mal im Namensfeld ein admin' -- ein und ein falsches Passwort (wenn admin einer der

in dem Fall wird mir eine Warnung ausgegeben und ich werde nicht eingeloggt... ich lese mir aber erstmal den artikel durch

Das -- hätte eigentlich ein Kommentar werden sollen, wodurch der Rest der Zeile ignoriert werden würde. Aber da man Kommentare in SQL nur sehr selten verwendet, hatte ich nicht die richtige Syntax im Kopf. Nach den beiden Minus muss ein Leerzeichen folgen. Oder aber man nimmt gleich ein # ohne weitere Kopfstände als Kommentarzeichen.

Sinn der Übung war jedenfalls, wenn du das noch nicht erkannt hast, die Prüfung des Passworts zu deaktivieren, so dass man sich als jeder beliebige Nutzer anmelden kann. Das darf natürlich aus deiner Sicht nicht sein und deswegen musst du dafür sorgen, dass solche SQL-Injection nicht stattfinden kann. Injectionen solcher Art gibt es nicht nur bei SQL sondern überall, wo Daten und Code gemischt werden. Es ist Grundlagenwissen für sichere Programmerstellung, damit umgehen zu können. Und das versucht dir der Kontextwechsel-Artikel beizubringen.

dedlfix.