hi,

Einfachere aber wirksame Prüfungen könnten sein: Ist der Value numerisch, alphanumerisch usw. Auch damit kannst Du verhinderen, dass jemand einen Code einschleust.

Im konkreten Fall geht es um eine email-Adresse, die vor der Weiterverarbeitung mittels eines Regexps überprüft wird, es sollten also eigentlich nur korrekte Daten an SQL übergeben werden. Aber meinen eigenen Sicherheits-Vorkehrungen traue ich nunmal nur bis zu einem gewissen Grad ;).

Genau. Es reicht ja schon, einen String, der als Parameter kommt, auf das Zeichen qq(') zu testen, um zu prüfen, ob der Fuzzi Böses im Schilde führt.

Viele Grüße,
Horst Haselhuhn