Hallo!

Wenn ich jedoch die Tabelle updaten möchte, kann ich ja keine joins benutzen. Der User könnte mit meinem Update (s.u.)duch Manipulation z.B. die Ordner_id 23 ändern, obwohl die Tabelle (ordner_id, uid) diese Kombination nicht kennt und daher für falsch erklären müßte.

Du mußt dafür sorgen, daß der User gar nicht weiss, wie die Variable für die ordner_id lautet. Er kann also nicht die Ordner_id ändern. Du muß/kannst vorher mit einem SELECT oder was auch immer testen, ob die Kombination möglich ist.

Du kannst auch alle Daten, Uid, Ordner_id etc. in einer Session mitschleppen. Der User sieht nur die Session-ID und kann die Variablen nicht manipulieren. Du sorgst mit Deiner Applikation, daß nur die Variablen verwendet werden, die Du für "sicher" hälst.

$query = "UPDATE ordner SET position ='$position'WHERE ordner_id = '$act'";

Gibt es dafür eine bessere Lösung oder ist ein Update generell relativ sicher?

Wenn Du natürlich "wichtige" Variablen über GET oder POST mitschleppst und die dann auch noch ungetestet fürs UPDATE-Statement nimmst, würde ich mal sagen, ist das so ziemlich unsicher.

MfG, André Laugks