Hello Lieber Felix,

Das verstehe ich jetzt nicht. Wieso öffnet die Auswertung eines Rückgabewertes einer Query ein Scheunentor?

es ist der Query-String und wie er zustande kommt. Das SQL-Statement wird mit ungefilterten POST-Werten erzeugt... da interessiert mich doch die Auswertung nimmer!

Das ist aber die falsche Betrachtungsweise. Jede Aktion an der richtigen Stelle. Nur, weil man das Escaping vergessen hat, darf man dann doch nicht auch noch die Auswertung des Rückgabewertes unterlassen. Wenn das passende Escping hergestellt ist, sollte es keine weitere Lücke mehr geben, nur weil jemand (Du) geschrieben hat, dass das unnötig sei...

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg