@Chris: Hast Du einen Hinweis, wo ich mehr darueber erfahre?

Der geheime Geheimcode lautet:

" or ""="

Setze das als $geheimcode in folgende SQL-Befehle ein und erfreue Dich an den Auswirkungen:

delete from tabelle where name="$geheimcode"

select privatpost from tabelle where nutzer="$nutzer" and passwort="$code"

Mit der bereits genannten Funktion mysql_[real_]escape_string() lässt sich das Problem von eingegebenen Anführungszeichen umgehen. Ähnlich interessant, wenn auch für andere Anwendungszwecke, die Funktion htmlentities().

Gruß,
  soenk.e