Ja Struppi, das weiss ich und ich entferne natürlich vor der Verarbeitung alle Sonderzeichen. Hab das im Thread weggelassen, da es für meine Frage nicht relevant ist. Und ein reiner Wert aus Buchstaben bzw. ein anderer aus Zahlen kann keinen Schaden anrichten denke ich. Lieg ich da richtig ?

Ja, aber da du CGI::param() verwendest, verwendest du unkontrollierbare Werte.

Struppi.