Hallo,

Select * FROM Tabelle WHERE ID='$_GET['ID']'
Wie kann ein potentieller Hacker nun mittels SQL_Injection eingreifen?
überleg doch mal was passiert wenn die ID den Inhalt O'Reily hat.

hmm,
warum ueberlegen, Versuch macht kluch ...
mysql = exec-error
1064 = Fehler in der SQL-Syntax bei 'Reily'' in Zeile 1

Das System ist also erst mal nicht zusammengebrochen ... ;-)

Ausserdem:
Wenn man Daten von "aussen" in ein Script holt, sollte man zumindestens eine
Minimal-Validation vornehmen, z.B.:

<?php  
$pid = (isset($_GET['ID'])) ? intval($_GET['ID']) : 0;  
?>

Nun kann ein potentieller Hacker machen was er moechte, es wird ihm nix nutzen.

Gruss Norbert