Hi Vinzenz Mai,

denke bitte daran, alle Benutzereingaben mit mysql_real_escape_string() zu behandeln. Gegebenenfalls musst Du vorher die lästigen und häßlichen Magic Quotes entfernen

Danke für den Hinweis, war mir der Gefahr wirklich nicht bewusst! Allerdings besteht bei dem vorliegenden Script glaub ich eher geringe Gefahr, da ich vorher überprüfe, ob derjenige, der das Script aufruft eingeloggt ist (Session). Beim einloggen sieht es dann so aus:

$username = str_replace("'", "", $username);
$password = str_replace("'", "", $password);
$result = mysql_query("SELECT * FROM user WHERE username = '$username' AND password = '$password'");
if(!$result OR mysql_num_rows($result) < 1) die("[ERROR]Benutzername und/oder Passwort falsch!");
else
{
 (...)

Denke das ist relativ sicher, oder nicht?

Lg Niko