Update anmelden.php

-secured PDO query with bindParam

Update anmelden.php
-secured PDO query with bindParam
34feaae9 · Henoch Einbier · 9e5caba2 · 34feaae9
Commit 34feaae9 authored 5 years ago by Henoch Einbier
--- a/content/intern/anmelden.php
+++ b/content/intern/anmelden.php
@@ -31,9 +31,12 @@ if ($_POST['anmelden'] == "Jetzt anmelden!") {
    if ($_POST['agb'] != "ja") $error .= 'Du musst die AGBs bestätigen!<br>';
    // User mit der Datenbank abgleichen
    if (!$error) {
-        $sql = sql::$db->query("SELECT `nickname` FROM " ._VMS_. "_userdaten WHERE nickname='" . $_POST['nickname'] . "'");
+        $sql = sql::$db->prepare("SELECT `nickname` FROM " ._VMS_. "_userdaten WHERE nickname=:nickname");
+        $sql -> bindParam(':nickname', $_POST['nickname'], PDO::PARAM_STR);
+        $sql -> execute();
        $nickname_check = $sql -> fetch();
-        $sql = sql::$db->query("SELECT `emailadresse` FROM " ._VMS_. "_emaildaten WHERE emailadresse='" . $_POST['emailadresse'] . "'");
+        $sql = sql::$db->prepare("SELECT `emailadresse` FROM " ._VMS_. "_emaildaten WHERE emailadresse=:mail");
+        $sql -> bindParam(':mail', $_POST['emailadresse'], PDO::PARAM_STR);
        $mail_check = $sql -> fetch();

        if ($mail_check) $error .= 'Diese Emailadresse ist schon im System!<br>';