Hi Tom,

Um beim Beispiel MySQL - PHP zu bleiben:

Wenn man z.B versäumt, die Häkchen zu maskieren, wirken diese bei der Übergabe des Querystrings wie eine Unterbrechnung des Datenwertes und machen aus einem Dieses Datenwertes dann z.B. ein SQL-Statement.

Wie meinst du Häkchen zu maskieren?

konkret habe ich eine eine Datenbankabfrage nach dem schema z.B.

UPDATE test SET (spalte = ' ."$_POST["spalte"] ."' ...
also jetzt mal ohne die Hochkommas und so.

Wenn im $_POST["spalte"] nun so etwas drinsteht
"'; DROP Table test; --" macht mir PHP ja automatisch "'; DROP Table test; --" daraus.
Also eigentlich keine Gefahr oder überseh ich was???

Uli