Hi!

Reicht es dazu aus, zu prüfen, ob die ersten 6 Buchstaben "SELECT" enthalten? Was wäre aber dann mit eventuellen Subqueries, die zwar mit "SELECT" beginnen, aber danach Schaden verursachen könnten?

SELECT kann nur abfragen. Subquerys, auch bekannt unter dem Namen Subselect (und nicht etwas Subdelete etc.), können ebenfalls nur abfragen. Wenn du kein mysqli_multi_query() verwendest, lassen sind auch keine weiteren Statements anhängen. Aber auch mit einem SELECT, das danach beliebig gestaltet werden kann, lassen sich Daten abfragen, die du nicht preisgeben willst, wie beispielsweise deine Geschäftsgeheimnisse oder auch Systemtabellen wie die, in der die Usernamen und Passwort-Hashes stehen.

Lo!