Hi suit.

1. Du sollst $_SERVER  (oder Teile draraus) nicht direkt oder ungeprüft in eine Abfrage einbauen.
2. Du sollst $_GET     (oder Teile draraus) nicht direkt oder ungeprüft in eine Abfrage einbauen.
3. Du sollst $_POST    (oder Teile draraus) nicht direkt oder ungeprüft in eine Abfrage einbauen.
4. Du sollst $_FILES   (oder Teile draraus) nicht direkt oder ungeprüft in eine Abfrage einbauen.
5. Du sollst $_COOKIE  (oder Teile draraus) nicht direkt oder ungeprüft in eine Abfrage einbauen.
6. Du sollst $_SESSION (oder Teile draraus) nicht direkt oder ungeprüft in eine Abfrage einbauen.
7. Du sollst $_REQUEST (oder Teile draraus) nicht direkt oder ungeprüft in eine Abfrage einbauen.

Warum nicht?

Was prueft denn z.B. der phpMyAdmin, wenn man eine SQL-Abfrage eingibt? Bzw. was sollte er pruefen?

(AFAIR fragt er - bei eingeschaltetem JavaScript - nach einer Bestaetigung, falls die Eingabe ein "DELETE"-Statement ist. Das zaehlt aber nicht ;-))

Viele Gruesse,
der Bademeister