Hoi,

Gratulation, du hast soeben ein Feature von PHP entdeckt, was es relativ
unmöglich macht, durch geschickten Code PHP-angebundene Datenbanken zu
löschen.

Häh?

Nun, stell dir vor, du uebergibst bei einer Datenbank-Suche den Parameter where.
Mit dem Parameter moechtest du die Where-Bedinung einschraenken:

mysql_query('SELECT felder FROM tabelle WHERE feld = "'.$where.'"') or die(mysql_error());

Jetzt gebe ich als Suchbegriff den folgenden Parameter ein:

abc"; DROB DATABASE datenbankname; DELETE FROM tabelle WHERE feld = "abc

So wird zuerst die Query ausgefuehrt, die durch das 'where' eingeschraenkt wird.
Dann wuerde sie durch das ; beendet, so dass die *eigentliche* Query so
aussieht:

SELECT felder FROM tabelle WHERE feld = "abc"; DROB DATABASE datenbankname; DELETE FROM tabelle WHERE feld = "abc"

Mit anderen Worten: die Datenbank mit dem Namen 'datenbankname' wuerde
geloescht, sofern du sie loeschen *darfst*. Wenn nicht, wuerden alle Datensaetze
geloescht aus der Tabelle 'tabelle'.

Das ganze wird durch ein PHP-Feature (naja) names 'Magic Quotes' verhindert:
die Anfuehrungs-Striche werden gequotet. So stuende jetzt mit 'Magic Quotes'
auf on die folgende Query da:

SELECT felder FROM tabelle WHERE feld = "abc"; DROB DATABASE datenbankname; DELETE FROM tabelle WHERE feld = "abc"

Das sieht doch schon viel freundlicher aus? :-)

Gruesse,
 CK