From 8a7d7595ed6f104d7b614c9c37c8414b0f6143f5 Mon Sep 17 00:00:00 2001
From: Henoch Einbier <axcessor@hotmail.com>
Date: Sat, 26 Oct 2019 00:09:52 +0300
Subject: [PATCH] Update uebersicht.php -secured PDO query with bindParam

---
 content/konto/uebersicht.php | 6 ++++--
 1 file changed, 4 insertions(+), 2 deletions(-)

diff --git a/content/konto/uebersicht.php b/content/konto/uebersicht.php
index c5050a9..540897a 100644
--- a/content/konto/uebersicht.php
+++ b/content/konto/uebersicht.php
@@ -1,9 +1,11 @@
 <?php userstatus();
-$sql = sql::$db->query("SELECT u.nickname,u.vorname,u.nachname,u.angemeldet_seit,w.werber,w.umsatz,w.gesamt,w.refback,k.kontostand,k.klicks,k.kv,k.angebettelt,k.bv 
+$sql = sql::$db->prepare("SELECT u.nickname,u.vorname,u.nachname,u.angemeldet_seit,w.werber,w.umsatz,w.gesamt,w.refback,k.kontostand,k.klicks,k.kv,k.angebettelt,k.bv 
 FROM "._VMS_."_kontodaten k 
 LEFT JOIN "._VMS_."_userdaten u ON u.uid = k.uid 
 LEFT JOIN "._VMS_."_werberdaten w ON w.uid = k.uid
-WHERE k.uid=".$_SESSION['uid']." LIMIT 1");
+WHERE k.uid=:session_uid LIMIT 1");
+$sql -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
+$sql -> execute();
 
 $kontoinfo = $sql -> fetch();
 
-- 
GitLab