Huhu,

mal angenommen, du machst einen SELECT, in dem du prüfen wilst, ob das angebene passwort zum usernamen passt, also hast du eine WHERE-bedingung in der art "... WHERE passwort = '$passwort'".

wenn du jetzt das vom user eingegebene passwort ungeprüft in deine query übernimmst, dann gebe ich z.b. >blah ' OR 1 OR 'x< als passwort ein, und schon sieht deine query so aus:
... WHERE passwort = 'blah' OR 1 OR 'x'"
OR 1 sorgt dafür, dass die bedingung _immer_ wahr ist, d.h. ich brauche das passwort gar nicht mehr kennen, um mich einloggen zu können ...

OK, überzeugt und eingebaut (siehe auch andere Nachricht *g*.)

Bis denn

Stanload