Lieber Patrick Hartwig,

ich habe gerade keine Zeit, Deinen Code komplett durchzuschauen, daher lege ich den Finger auf die Stellen, die mir sehr verdächtig vorkommen:

// Wenn ein Eintrag gelöscht wird  

$day = $_POST['date'];
mysql_query("DELETE FROM calender WHERE day = '$day' AND month = '$month' AND year = '$year'");

  
Hier hast Du eine SQL-Injection-Lücke. Was macht Dein Code, wenn ein Angreifer mittels POST folgendes (oder so ähnlich!) übermittelt?  
  
date=SET%20PASSWORD%20FOR%20user%3DPASSWORD('some%20password')  
  
Liebe Grüße,  
  
Felix Riesterer.

-- 
ie:% br:> fl:| va:) ls:[ fo:) rl:| n4:? de:> ss:| ch:? js:) mo:} zu:)