Hallo Martin,

das ist schon ein "Bobby Tables"-Angriff - aber merkwürdig ist dieses Gruppieren des Ergebnisses nach USER(), der zwei scheinbar sinnlose Strings eingepackt ist und noch ein Zufallselement dazu bekommt.

Die leeren Kommentare sind Ersatz-Whitespace und maskieren den SQL Text ein wenig.

In Linuchs' Kontext doof, in anderen Kontexten möglicherweise verheerend. Vielleicht haben diese Hex-Angaben in anderen DBMS auch noch andere Wirkungen.

Wie auch immer, Linuchs - addslashes ist die falsche Antwort auf diesen Angriff. Die richtige lautet mysqli_real_escape_string, wie schon drölfzigmal geschrieben. Machmal sollte man sich auch an Handbuchempfehlungen halten.

Rolf