HI,

Du solltest *jeden* String, der vom User kommt, per
mysql_escape_string() (das ist eine PHP-Funktion!) escapen
lassen.

ja, ich habe nachgesehen:
mysql_escape_string macht doch nichts anderes als addslashes. Das jedenfalls mache ich, aber bei Umlauten geschieht da doch gar nichts. Diese Funktion escaped \ und ' und ". Du sprichst immer von 'quoten' - ist damit das escapen gemeint?

...Na, dann gute Nacht. Damit kann man problemlos jeden
beliebigen SQL-Code ausfuehren lassen...

hoffe, das geht jetzt doch nicht, wo ich doch 'addslashes benutze. Kann mir das auch nicht ganz vorstellen: in meiner Abfrage steht

WHERE AutorName LIKE '%vom_User_übergebenes_Argument%'

oder

WHERE AutorName = 'vom_User_übergebenes_Argument'

wenn der da irgend einen SQL-Scheiß reinschreibt, ist die Abfrage doch syntaktisch falsch bzw. die Wörter werden gefunden, oder?

allerdings weiß ich immer noch nicht, warum bei Umlauten immer auch so viele andere Datensätze gefunden werden ;)

gruß, Andreas