Hi,

ich würde Dir empfehlen jeden SQL-String den Du an die DB schickst zu prüfen.

Die Abfrage per SQL, wie Du sie beschreibst, wäre meines Erachtens nur innerhalb von POST oder GET Variablen möglich, also wenn z.B. im Namens feld ein SQL string eingegeben wird.

Mit PHP kann man das so verhindern:

$sql="SELECT * FROM tabelle WHERE name='".mysql_escape_string($_POST["name"])."';";

Der Befehl mysql_escape_string maskiert einen String und macht ihn damit als SQL-Sequenz unbrauchbar.

Auch solltest Du bei PHP immer mit $_POST arbeiten, damit keine Variablen über die URL gegeben werden können.

Gruß

Ralf