auf meinem Server wurde ja auch dreimal hintereinander "eingebrochen". Der Provider hat "irgendwas" gemacht, und meine Seiten waren wieder da. Ich war froh, dass er schnell reagiert hat und habe keinen Fernlehrgang verlangt, bin zu diesem Thema also doof geblieben ;-)

Nach dem dritten Mal hat er das System neu installiert, nachdem ich alle Daten gesichert hatte. Anschliessend wieder neu aufgespielt.

Bei einem Sicherheits-Infoabend wurde gezeigt, wie man über phpMyAdmin einbrechen kann. Dem konnte ich ja nun wirklich nicht abhelfen.

Bis heute weiss ich nicht, wo die Schwachstelle war, habe aber meinen Code überarbeitet. Auf jeden Fall dürfen die vom Server automatisch generierten Slashes (") vor den Datenbank- Zugriffen auf keinen Fall entfernt werden.

Danach, vor der Ausgabe auf HTML aber schon:

  $string = htmlspecialchars($string, ENT_QUOTES); // wandelt & &amp; " &quot; ' &#039; < &lt; > &gt;  

Und bisher habe ich Glück gehabt ...

Kalle