Tach!

Aber zB. bei XSS kann man mit einem Textfeld, welches auf 20 Zeichen begrenzt, doch nicht wirklich einen schadhaften Javascript-Code einschleusen. Liege ich da richtig?

Du musst nicht unbedingt kennen, was alles geht, sondern besser wie man generell alles unerwünschte vermeidet. Kontextwechsel ist das Stichwort.

Weniger auskennen tu ich mich bei den mysql-injection. Gibt es da eine Möglichkeit, bei nur 20 Zeichen einen Schadhaften Code einzufügen?

Erst die Tabelle begrenzt auf 20 Zeichen. Das SQL-Statement dazu kann und wird länger sein und dort passiert die SQL-Injection. Auch wirkt die Begrenzung nicht, wenn du mit einem Affenformular die Eingabe solange wiederholen lässt, bis alles stimmt. Hier ist HTML/CSS/JS XSS-empfindlich.

dedlfix.