Hallo Andreas-Lindig,

Quoting: Äh, ich weiss nicht genau, was Du meinst, aber
die Abfrage ist genau so, wie sie oben steht.
Ja, nur, wie quotest du die Daten? ;) Du wirst ja wohl kaum
die Daten einfach ungequotet und ungeprueft vom User
uebernehmen.
<gebückt schleichend mit leisem wispern>
   doch, eigentlich schon...
</gebückt schleichend mit leisem wispern>

Na, dann gute Nacht. Damit kann man problemlos jeden
beliebigen SQL-Code ausfuehren lassen...

Ich mach zwei Varianten:
[...]

Du solltest *jeden* String, der vom User kommt, per
mysql_escape_string() (das ist eine PHP-Funktion!) escapen
lassen. User sind boese[tm], sie machen grundsaetzlich Sachen,
mit denen man nicht gerechnet hat.

Zugriff: hmm..., halt wie ich es immer mache mit
MySql-Front oder über PHP.
Aha, verwendest du mysql_escape_string()?

nicht bewußt ;) muß mal nachschauen - ist das einen
MySql-Einstellung?

Nein, eine PHP-Funktion.

Gruesse,
 CK