Hi!
$_POST['etwas'] = "sonstwas; DROP TABLE blog;";
$sql = "SELECT * FROM blog where thema ='" . $_POST['etwas'] . "'";
Plonk.
Das geht so nicht. Wenn man nicht mysqli_multi_query() verwendet, ergibt das nur einen Syntaxfehler, weil MySQL die Ausführung von zwei Statements in einer Query ablehnt. Man kann aber immer noch genügend Änderungen am SELECT-Statement vornehmen, um die Ergebnismenge zu beeinflussen oder beispielsweise an Daten aus anderen Tabellen zu gelangen.
Lo!