Moin!

und wie überträgst Du die Daten (GET oder POST aus der Sicht des Browsers).
?? ich schreibe den String in ein hidden input und bei Absenden des Formulars wird der "value" - Wert in die BD geschrieben
(name ="mein DB-Feldname" value="das was reingeschrieben wird" -> aber eben ohne die { } )

das macht meine Shop-Software - sorra, aber "keine Ahnung" ob GET oder POST

Das bedeutet also, dass man bei genügender Manipulation der Hidden-Felder in jede beliebige Tabelle jeden beliebigen Eintrag vornehmen kann.

Wow, mir sind lange schon keine so schlechten Sicherheitskonzepte mehr untergekommen - deine Idee ist wirklich haarsträubend, und du kannst von Glück reden, dass du auf Probleme gestoßen bist und hier auf deine Sicherheitslücken hingewiesen wirst.

- Sven Rautenberg