Hallo,

Ich prüfe die Nutzer-Eingaben vor der Weiterverarbeitung / Speicherung, ob sie eines der folgenden Schlüsselwörter enthalten:

• INSERT
• CREATE
• TRUNCATE
• ALTER TABLE
• DROP TABLE
• SCRIPT
• DELETE

wie Cheatah schon sagte: blacklists sind böse. Aber! das heißt nicht, dass du mit einer Whitelist auf der sicheren Seite bist.
Das dachten die Entwickler von mySpace nämlich auch.
Sie ließen nur einige Tags <a>, <img>, und <div> zu.

Ein simples <div style="background:url('javascript:alert(1)')"> war dann der Anfang vom Ende.
Nachzulesen unter http://namb.la/popular/tech.html

Grüße,

Jochen