Moin Moin !

Du mußt Dir darüber klar werden, daß HTML im Browser (Client) gerendert (in ein Bild umgerechnet) wird, während SQL in der Regel auf dem Server ausgeführt wird, wie auch Perl, PHP und diverse andere Sprachen in der Regel (d.h. im WWW-Umfeld) auf dem Server laufen. Mit PHP, Perl und SQL kann der Browser normalerweise nichts anfangen, der versteht nur HTML und sehr oft auch Javascript.

Dann mußt Du Dir darüber klar werden, was für eine Sicherheitslücke Du konstruieren willst: Du erlaubst *JEDEM*, der einen Browser benutzen kann, *BELIEBIGES* SQL auf dem Server auszuführen. Mit zwei oder drei SELECT- und DROP-Statements kann man eine Datenbank vollständig löschen, und wenn die Datenbank zufällig ein MS SQL Server ist, kann man u.U. anschließend auch noch beliebige Programme (FORMAT C:) auf dem Server ausführen.

Alexander