Hi!

ehm, also erstma ich kenn mich noch nicht besonders gut mit php aus.

Das ist das Gefährliche daran: je weniger man sich auskennt, desto mehr Fehler kann man machen. Das Gute daran: man kann aus Fehlern lernen - manchmal sogar bevor diese begangen werden - aber dies ist eher der Wunschgedanke (deutscher?) Eltern im Hinblick auf den Nachwuchs;)

ich hab jetzt in meinem code gar kein GET oder POST gefunden..

bleicher wollte Dir mitteilen, dass Du Informationen -ungeprüft_ in Deine Query übernimmst - das ist ganz schlecht! Im Web-Umfeld werden Daten via HTTP und meistens per GET- oder POST-Methode übertragen.

aber warum sollte ich das nicht machen?

Weil Dir jemand etwas 'unterschieben' kann, was Du nicht willst - zum Beispiel eine Anweisung, die Deine intendierte Anfrage an den Datenbankserver so verfälscht, dass Daten manipuliert werden können.

bzw wie kann ich es besser machen?

Überprüfe _alle_ Eingaben, deren Herkunft Du nicht kennst - also alle, welche nicht von Dir stammen;)

Erwartest du als Eingabe eine Ganzzahl: dann prüfe, ob eine Ganzzahl vorliegt!
Erwartest du als Eingabe eine dreistellige Nummer: dann prüfe hierauf!

etc.

off:PP