From 0eb349b4ded6df38c68166281b7a161db0d618a9 Mon Sep 17 00:00:00 2001
From: Paul Wagener <mail@paulwagener.nl>
Date: Tue, 25 Feb 2014 22:32:55 +0100
Subject: [PATCH] Added multi_query exercise

---
 bank/index_multi.php | 108 +++++++++++++++++++++++++++++++++++++++++++
 index.php            |   3 +-
 2 files changed, 110 insertions(+), 1 deletion(-)
 create mode 100644 bank/index_multi.php

diff --git a/bank/index_multi.php b/bank/index_multi.php
new file mode 100644
index 0000000..2f37eb1
--- /dev/null
+++ b/bank/index_multi.php
@@ -0,0 +1,108 @@
+<!DOCTYPE html>
+<html lang="en">
+  <head>
+    <meta charset="utf-8">
+    <title>Poespas Bank</title>
+    <meta name="viewport" content="width=device-width, initial-scale=1.0">
+    <meta name="description" content="">
+    <meta name="author" content="Paul Wagener">
+
+    <link id="callCss" rel="stylesheet" href="/themes/bank/bank.css" media="screen"/>
+    <link id="callCss" rel="stylesheet" href="/themes/css/bootstrap.min.css" media="screen"/>
+	<link href="/themes/css/bootstrap-responsive.min.css" rel="stylesheet"/>
+  </head>
+
+  <!-- De code in dit bestand is met opzet slecht en zeer onveilig opgezet.
+       GEBRUIK DEZE CODE NIET als referentiemateriaal voor je eigen PHP projecten! -->
+
+<body>
+<div id="header">
+<div class="container">
+
+<!-- Navbar ================================================== -->
+<div id="logoArea" class="navbar">
+    <a class="brand" href="/bank"><img src="/themes/images/poespas.png" title="De bank die u kunt vertrouwen"></a>
+</div>
+</div>
+</div>
+
+<!-- Header End====================================================================== -->
+<div id="mainBody">
+	<div class="container">
+	<div class="row">
+
+
+    <p>Welkom bij de Poespas Bank. De bank die u kunt vertrouwen.</p>
+    <p>Vul alleen uw gegevens in als u zeker weet dat u zich op de echte Poespas site bevind. </p>
+
+     <hr />
+
+<?php
+if($_POST) {
+    /**
+     * Maak verbinding met de database
+     */
+    $connection = new mysqli('localhost', 'bank', 'pass', 'bank')
+        or die('Kan geen verbinding maken met MySQL');
+
+    /**
+     * Zoek gebruiker in de database met de juiste gebruikersnaam en wachtwoord
+     */
+    $query = "SELECT * FROM gebruikers WHERE gebruikersnaam = '" . $_POST['gebruikersnaam'] . "' AND wachtwoord = '" . $_POST['wachtwoord'] . "'";
+
+    $connection->multi_query($query);
+
+    do {
+        $result = $connection->store_result();
+    } while (@$connection->next_result());
+
+    if($connection->error)
+        die('<div class="alert alert-danger">Query error: <pre>|' . $connection->error . '|</pre>Query: <code>' . $query . '</code> </div>');
+
+    /**
+     * Kijk of de query iets heeft teruggegeven. Anders geven we een error
+     */
+    if($result->num_rows == 0) {
+       die('<div class="alert alert-danger">Inlog gegevens niet correct</div>');
+    } else {
+
+        /**
+         * Gebruiker heeft correct ingelogd. Laat zijn balans zien
+         */
+         $row = $result->fetch_array();
+
+         echo "<div class=\"well\">Welkom terug " . $row['gebruikersnaam'] . "! ";
+         echo "Uw balans is op dit moment: <b>" . $row['balans'] . " euro</b></div>";
+    }
+    $connection->close();
+} else {
+
+    /**
+     * Laat inlogformulier zien
+     */
+?>
+    <div class="span4 signin-container">
+
+         <form class="form-signin" method="POST">
+             <h3 class="form-signin-heading">Inloggen Mijn Poespas</h3>
+             <input type="text" name="gebruikersnaam" class="input-block-level" placeholder="Gebruikersnaam">
+             <input type="text" name="wachtwoord" class="input-block-level" placeholder="Wachtwoord">
+         <button class="btn btn-primary" type="submit">Inloggen</button>
+      </form>
+     </div>
+
+<?php
+}
+?>
+		  </ul>
+	<hr class="soft"/>
+	</div>
+</div>
+
+</div>
+</div>
+</div>
+</div>
+<!-- MainBody End ============================= -->
+</body>
+</html>
diff --git a/index.php b/index.php
index 0947efa..57c9e0a 100644
--- a/index.php
+++ b/index.php
@@ -3,7 +3,8 @@ De virtuele machine werkt! Lees de opgave om te beginnen met hacken.
 <h1>SQL Injection</h1>
 
 <h2><a href="/bank/">Bank</a></h2>
+<a href="/bank/index_multi.php">Bank (multi_query)</a>
 
 <h2><a href="/webshop/">Webshop</a></h2>
-
+<a href="/webshop/product_detail_replace?id=1">Webshop (replace)</a>