hi,

Mit diesem Befehl

SELECT * FROM buecher WHERE autor='".mysql_real_escape_string($_GET['filter'])."' ORDER BY titel ASC";

  
Wird` $_GET['filter']`{:.language-php} vor der Abfrage noch [validiert](http://community.de.selfhtml.org/my/zitatesammlung/zitat1392)?  
Alles, was User eingeben ist Böse, schon den Aufruf deiner Seite musst du als Angriff betrachten und dementsprechend reagieren.  
  
[Funktionen für den Umgang mit Usern](http://forum.de.selfhtml.org/archiv/2008/8/t175711/#m1155768).  
  

> Ich würde jetzt, bei einer anderen Abfrage, gerne die Sortierung über die URL und ORDER "abwickeln", allerdings finde ich hierzu keine Lösung. Ich meine theoretisch  
> ~~~php
  

> SELECT * FROM buecher ORDER BY //HIER DER FILTER, ABER WELCHER BEFEHL?// ASC"; 

Nach welchen Kriterien soll denn ge„ORDER“t werden? Du müsstest ja Theoretisch noch einen Query an deine URI dranhängen, die du dann auch ausliest.

xyz.php?filter=autorname;orby=wasauchimmer

  
 SELECT * FROM buecher ORDER BY '".$_GET['orby']."' ASC"; 

$_GET['orby'] wird natürlich mit der gleichen Paranoia wie alle $Usereingaben behandelt.

holla holla