Safak/DBWT
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

M4 A2

Browse Source 
SQLI Pretection mysqli_real_escape_string()
XSS Pretection htmlspecialchars ()
This commit is contained in:
S170H
2023-12-02 23:10:15 +01:00
parent 644248d1ff
commit 3206c60ce2
7 changed files with 240 additions and 46 deletions
Download Patch File Download Diff File Expand all files Collapse all files

38
M4/Werbeseite/wunschgericht.php
View File

@@ -17,14 +17,38 @@ if ($_SERVER['REQUEST_METHOD'] == 'POST') {
exit();
}
// Einfügen in die Datenbank
$sql = "INSERT INTO wunschgericht (name, beschreibung) VALUES ('" . mysqli_real_escape_string($link, $gericht_name) . "', '" . mysqli_real_escape_string($link, $gericht_beschreibung) . "')";
$result = mysqli_query($link, $sql);
$error_count = 0;
$spam_domains = array("rcpt.at", "damnthespam.at", "wegwerfmail.de", "trashmail");
if ($result) {
echo "Ihr Wunschgericht wurde erfolgreich gespeichert!";
} else {
echo "Es gab einen Fehler: " . mysqli_error($link);
foreach ($spam_domains as $domain) {
if (str_contains($ersteller_email, $domain)) {
echo '<script type="text/javascript"> alert("Fehler bei den übermittelten Daten");</script>';
$error_count++;
break;
}
}
if(!$error_count){
// Ersteller in DB eintragen
$sql_ersteller_exists = "SELECT * FROM ersteller WHERE EMail = '" . mysqli_real_escape_string($link, $ersteller_email) . "'";
$result_ersteller_exists = mysqli_query($link,$sql_ersteller_exists);
if(mysqli_num_rows($result_ersteller_exists) == 0){
$sql_ersteller = "INSERT INTO ersteller(EMail, Name) VALUES ('" . mysqli_real_escape_string($link, $ersteller_email) . "','" . mysqli_real_escape_string($link, $ersteller_name) . "')";
$result_ersteller = mysqli_query($link,$sql_ersteller);
}
// Gericht in die DB eintragen
$date = date("Y-m-d");
$sql = "INSERT INTO wunschgericht(Name, Beschreibung, Erstellungsdatum, Ersteller_EMail)
VALUES ('" . mysqli_real_escape_string($link, $gericht_name) . "','" . mysqli_real_escape_string($link, $gericht_beschreibung) . "','".$date."','" . mysqli_real_escape_string($link, $ersteller_email) . "')";
$result = mysqli_query($link, $sql);
if ($result) {
echo '<script type="text/javascript"> alert("Ihr Wunschgericht wurde erfolgreich gespeichert!");</script>';
}
else {
echo '<script type="text/javascript"> alert("Es gab einen Fehler: "' . mysqli_error($link) . '</script>';
}
}
mysqli_close($link);