Hi!

2. wie ein typischer Datenstrang gegen den SQL Injection aussieht? Also ich möchte irgendwas in der PHP Datei finden, die typisch ist, was gegen SQL injection schützt.

Ist sowas gegen SQL Injection? $_GET["id"] = (int)$_GET["id"];
Nein!

Ja! Hier wird durch den Typecast sichergestellt, dass $_GET["id"] eine Integerzahl ist. Damit kann man garantiert keine SQL-Injection betreiben.

mysql_real_escape_string($_GET['id'])) wäre z.B. ein Schutz gegen Injection.

Nicht in jedem Fall: http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel#Zahlen_im_.28My.29SQL-Statement

Lo!