Hallo WauWau,

Ich sehe kein einziges quote!?

[pref:t=71768&m=414582]
die geänderten zeilen zu posten, hätte absolut gereicht.

$data = "$autor|-|$datum|-|$ueberschrift|-|$inhalt|-|\n";
und was passiert, wenn jemand in seinem namen z.b. dein trennzeichen "|-|" verwendet?
|-|@x0r

Ich habe in meinem Newssystem einen einzigen News in einer MySQL-Db in "einem Datensatz" gespeichert. Dann gibt es also das Feld "comments", und dort sind die Kommentare per [!] abgetrennt. Das bedeutet, wenn jemand "hallo[!]neues kommentar" eingibt, dann macht das system 2 Kommentare.

nein, dann geht der zweite teil des kommentars bei der ausgabe verloren, weil das script ihn nicht verwendet (zumindest, wenn man es so macht, wie nokill2003). und mit solchen tricks könnte ich mir unter umständen rechte auf einem system erschleichen, wenn er die user-verwaltung genauso unsicher aufbaut.

Manchmal lässt sich bei sowas nicht viel machen, außer man verwendet so ganz extreme teile wie {{{%trenn%}}}, worauf vielleicht keiner kommt (wie gesagt "vielleicht").

doch. getrennte felder nehmen.
solche "trennzeichen" sind nur nötig bei flatfile-anwendungen, aber nicht, wenn man eine datenbank zur verfügung hat.
und dann nimmt man trennzeichen, die php als sonderzeichen mit addslashes im eigentlichen beitrag maskiert, wodurch sie sich von den echten, später hinzugefügten trennzeichen unterscheiden lassen.

Aber wer prüft schon ein system nach so was ab...?

1000de scriptkiddies?
verärgerte ex-user eines forums, die vom admin ausgeschlossen wurden?

freundl. Grüße aus Berlin, Raik