nicht angemeldet
Hallo Forum,
echo "<p><input type='Text' name='feld' value='$feld' size='10'> - <input type='Text' name='antwort' value='$antwort' size='10'><input type='Text' name='reihe' value='$reihe' size='3'> - <input type='hidden' name='ID' value='$ID'></p>";
Da fehlt überall htmlspecialchars, du willst dir schließlich nicht das komplette Formular zerschießen, nur weil in einem der Datensätze > steht.
$sql = "update TABLE set
feld=$feld,
antwort='$antwort',
reihe='$reihe'
where ID=$ID";
Überlege dir einmal, was passiert wenn ich all reihe folgendes eingebe:
'/*
und dann wende mysql_real_escape_string auf _alle_ Benutzereingaben an, wenn du das SQL-Statement zusammenbaust (und setze die Werte in Kommatas).
Gruß
Alexander Brock
