Hallo Andavos,

UPDATE tabelle Set spalte = '' #' WHERE id = '1'
Das geht aber nur wenn magic_quest_gpc auf Off steht, wenn es auf On steht sieht es so aus:
UPDATE tabelle Set spalte = '' #' WHERE id = '1'

klar, aber wenn mqg dann wirklich mal auf off steht, ist eben alles zu spät ...

Aber du hast recht, so kann man MySQL Injections machen, wenn es auf Off steht, darum will ich es ja Standardmäßig bei jedem auf On haben.

nein. Du möchtest mysql_escape_string() verwenden (und zusätzlich bei mqg=on noch stripslashes())

Aber viel mehr als addslashes() macht die Funktion auch nicht

aber im Ernstfall kann das bischen vielleicht entscheidend sein ...

Aber für den Script ist es zu spät (zuviele Zeilen mit zuvielen Post und Get Abfragen).

dann musst duu das Script eben komplett umschreiben (oder einstampfen) - aber nicht weiterverteilen.

Das Wbb2.1.3 benutzt die Funktion addslashes() um die Abfragen zu "filtern".

das ist kein Grund es genauso falsch zu machen (btw: warum haben die Boards wohl ständig irgendwelche Sicherheitslöcher ...?)

Grüße aus Nürnberg
Tobias