Moin!

Wenn die Variablen ungeprüft aus URL- oder POST-Parametern kommen, ist das ein wunderschöner Angriffsvektor für SQL Injection. Benutze parametrisierte SQL-Statements...

Selbst wenn die Variablenwerte nicht direkt aus bösen Quellen kommen, so können dennoch Zeichen enthalten sein, die das SQL-Statement ungültig machen.

Deshalb ist GRUNDSÄTZLICH zu escapen, egal woher die Variablen kommen. Selbst dann, wenn man eigentlich denkt, dass...

1.) Sollte register_globals off sein und damit können die verwendetn Variablen nicht direkt auf den POST-Variableninhalt zugreifen sondern man müsste ihnen "per Hand" den POST-Variableninhalt liefern was
2.) in seinem kurzen Beispiel nicht der Fall war.

- Sven Rautenberg