Peinlich, dass das keiner der bisherigen Threadteilnehmer bemerkt hat.

Als ich mir das Posting eben durchgelesen habe, hab ich es bemerkt, ätsch ;-).

// Also neuer Code:
// 1. SQL zusammensetzen:
$sql = "SELECT * FROM Mitglieder WHERE Name = '".mysql_real_escape_string($_POST['Benutzer'])."' AND Pw = '".mysql_real_escape_string(md5($_POST['Pw']))."'");

Besonders das Verwenden von mysql_real_escape_string direkt in der SQL-Query kann ich nur empfehlen. Damit bemerkt direkt ein evtl. Fehlen der escape-Funktion und muss nicht den halben Code durchwühlen um zu prüfen, ob die Variablen korrekt gesäubert wurden.

Gruß, Volker