Hi!

Wie prüfe ich, ob ich mysqli_multi_query() verwende?

Du solltest es wissen. Wenn dir die Funktion nicht bekannt ist, hast du entweder Code, der nicht von dir geschrieben ist, oder du verwendest sie nicht (stattdessen mysql_query() oder mysqli_query()).

Und: Reicht es aus, wenn ich ein array mit Wörtern erstelle, die in der Query nicht vorkommen dürfen und dort auch die Tabellennamen reinnehme, die nicht abgefragt werden dürfen?

Ich erteile keine Absolution für solche Fragen, da auch ich nicht bis ins Letzte weiß, was man unter welchen Umständen (und Verkettungen solcher) ausnutzen kann. Ich kann dir nur empfehlen, dir die SELECT-Syntax genauestens anzuschauen und selbst zu entscheiden, welche Bestandteile du davon nicht ausgeführt haben möchtest. Dazu gehört auch die Liste aller Funktionen und Operatoren, die innerhalb einer SELECT-Abfrage verwendet werden können. Und außerdem gibt es noch so nette syntaktische Dinge, wie Hexadezimalzahlen, die als String angesehen werden. Gut, damit kann man zwar meines Wissens keine Tabellen- oder Feldnamen verschleiern, aber wer weiß schon, was noch alles möglich ist, ganz zu schweigen von möglichen Lücken in MySQL selbst.

Lo!