hi,

Das Stichwort, über dass du dich informierst, lautet SQL Injection.

kann man das nicht einfach durch 'htmlspecialchars()' unmöglich machen? man will ja sowieso kein html im passwort oder im username, und auch sonst nie html das der anwender eingegeben hat.
hab ich mich nur mal so gefragt...