Hi,

Wenn ich $_POST Daten eines Formulars in Datenbank abfragen einbaue und ich die Variablen nicht bereinige kann mir jemand mit irgendwelchen aingaben auf meine Datenbank zugreifen? Mit PHP 4.3 oder höher werden ja ' oder so automatisch zu ' umgewandelt.
Also glaube ich dass mir wenig passieren kann.

1;drop table blubb;

Wenn der Wert jetzt, weil es eine Zahl sein muß: ohne Anführungszeichen, unüberprüft in Dein SQL eingebaut wird, kann Deine Tabelle blubb gelöscht werden. Z.B. wenn statt 1 eben obengenanntes angegeben wird, wird aus
select bla from blubb where id > 1
dann eben
select bla from blubb where id > 1;drop table blubb;

Da hilft es auch nicht, daß die ' maskiert werden - denn da sind keine...

cu,
Andreas