Hi!

"SELECT * from test WHERE name=$name"
Oder steht in $name wirklich ein Spaltenname?
Wenn es ein Feldinhalt wäre, bräuchte es (abgesehen vom DB-Escaping) Anführungszeichen außenrum.

Jein, MySQL kennt auch eine Hex-Notation für Strings. Dafür hatte ich aber bisher noch keinen sinnvollen Anwendungsfall. Man könnte es vielleicht für Angriffszwecke nutzen, wenn mit is_numeric() auf Zahlenwert geprüft wird und ein Hex-String dadurch ungeschoren durchkommt.

Lo!