Moin,
Beweis: Magic Quotes ausgeschaltet, Suchformular mit dem Feld "where".
Im Script sieht es so aus:
mysql_query("SELECT felder FROM tabelle WHERE '$where'");
User-Eingabe: abc'; DELETE FROM tabelle; SELECT 'ab
Fehlermeldung: You have an error in your SQL syntax near '; DELETE FROM Forum; SELECT 'ab'' at line 1
Genau das hat irgendein schlauer Mensch verboten: Man kann in einem mysql_query-Aufruf nicht mehrere durch Semikolon getrennte Queries absenden. Abgesehen davon dass damit einige praktische Probleme weg sind (das result-set von welcher Query soll mysql_query denn dann bitteschön zurückgeben?) lösen sich die Sicherheitsprobleme damit weitgehend auf.
--
Henryk Plötz
Grüße aus Berlin