verfaßt von MudGuard 
, München, 26.05.2022, 15:20:23
>
<?php
> if ($_GET['rxcode'] == true) {
> $sql = "SELECT * FROM $controltbl WHERE oncode = ".$_GET['rxcode']."";
>
oh-oh. Daten vom Kunden ohne Prüfung des Werts und ohne Escaping in's SQL zu übernehmen ist - ich sag's mal vorsichtig - mutig ...
Welchen Typ haben die Spalten oncode, offcode?
Was steht tatsächlich in $_GET['rxcode'] drin?
Du machst keinerlei Fehlerbehandlung bei den SQL-Kommandos. Das solltest Du aber machen, und dabei insbesondere dann auf ggf. auftretende Fehlermeldungen achten.
gesamter Thread:
![[image]](https://www.andreas-waechter.de/Bilder/Menu/Waechter.png)