Moin!

$result  =  mysql_query( "select * from  $table WHERE (kategorie='nachrichten') and date=curdate() Order By date DESC LIMIT 10");

Ich hoffe doch, dass $table vorher einmal durch mysql_real_escape_string() gejagt worden ist …

Das hoffe ich nicht, denn das wäre die falsche Methode, mit Bezeichnern umzugehen.

Da hast du natürlich vollkommen Recht, mein Colt ging vorschnell los. Schade, dass es keine Funktion mysql_real_escape_identifier() gibt – aber vielleicht das auch daran, dass gerade MySQL sehr liberal mit erlaubten Bezeichnern umgeht. Ist diese Syntax überhaupt SQL-konform?

Außerdem besteht immer noch die Hoffung, dass $table nicht aus einer Benutzereingabe sondern aus "kontrolliertem Anbau" kommt.

Hoffentlich.

[…] ich bin noch etwas neue in der MySQL-Materie […]

Schönes Wochenende,
Robert