Hoi,

Bei PHP z. B. kann es durchaus sein, dass jemand durch Usereingaben
dir die Datenbank loeschen kann.

Entschuldige mein unqualifiziertes Reinplatzen in diesen Thread,
aber _das_ will ich dann doch mal sehen.
Hast du Beweise für diese These?

Natuerlich. Aber das Bezog sich nicht auf PHP im speziellen, PHP war
nur das Beispiel, das ich herangezogen habe. Das ist natuerlich in
jeder beliebigen anderen Sprache genau dasselbe Problem. Deshalb
predige ich ja auch das grundsaetzliche validieren von User-Eingaben.

Beweis: Magic Quotes ausgeschaltet, Suchformular mit dem Feld "where".
Im Script sieht es so aus:

mysql_query("SELECT felder FROM tabelle WHERE '$where'");

User-Eingabe: abc'; DELETE FROM tabelle; SELECT 'ab

Gruesse,
 CK