Diese Seite erlaubt es, direkt SQL-Befehle einzuschleusen, da die Benutzereingabe ohne Escape in die SQL-Anweisung eingebaut wird:
$query = "SELECT * FROM mitarbeiter WHERE username = '$search'";
Ein Angreifer kann SQL-Code einschleusen, wie zum Beispiel:
' OR '1' = '1' -- → zeigt alle Einträge' OR 1=1; DELETE FROM mitarbeiter WHERE username='ruedi'; -- → löscht Benutzer „ruedi“'; INSERT INTO mitarbeiter (...) VALUES (...); -- → fügt eigene Benutzer einDer Einsatz von mysqli_multi_query() erlaubt sogar **mehrere Befehle auf einmal** – ein besonders gefährliches Setup!
mysqli_prepare() oder PDO)