Hallo,

ich möchte, wenn man in einer TEXTAREA einen PHP Code eingibt dass dieser auch durchgeführt wird, sprich Verbindung zur Datenbank aufbauen und QUERY's durchführen.

Meine Versuch ist folgendes:

<?PHP $_POST["sqlbefehl"]; ?>  
<html>  
<form action="befehl.php" method="POST">  
<table>  
<tr>  
<td><textarea name="sqlbefehl" cols="64" rows="7"></textarea></td>  
</tr>  
<tr>  
<td><input type="submit" value="Absenden" name="verschicken"/></td>  
<td><input type="reset" value="Löschen" name="leeren" /></td>  
</tr>  
</table>  
</form>  
</html>

In der Textarea steht nun das ganze "Befehl" drinnen (Verbindung aufbauen, INSERT into ... und Verbindung wieder schliesen), was ich ausführenlassen will. Wenn ich nun auf Absenden Klicke, passiert gar nichts, ich meine damit, dass in der Datenbank nichts neues eingetragen wurde.

Aber wenn ich den Code, der in der Textarea steht, sagen wir mal in test.php speichere, und dann im browser test.php aufrufe klappt es.

Wo liegt der Fehler?

Ich habe ja vorhin erwähnt, dass ich die Verbindung zur der Datenbank selber in die Textbox eingebe.
Also kann man mir doch keinen bösen CODE (SQL-INJECTION) an meine Datenbank verschicken und sie damit zerstören? , oder siehe ich es falsch.
Gibt es auch PHP Codes, die meine komplette oder einen teil meiner homepage zerstören könnten, z.B. irgendwelche Ordner komplett löschen?
Macht es sinn den Ordner mit htaccess zu schützen damit ich nur den zugriff habe?

Viele Grüße
Frank.