Hallo Felix,

Man sieht $_SESSION['username'] später nicht mehr an, dass hier eine Benutzereingabe unbehandelt geblieben ist und daher für SQL potenziell bösartig sein kann.

D'accord, aber wie macht man es richtig? Es wäre doch auch falsch, in $_SESSION['username'] einen für SQL oder HTML behandelten Wert abzulegen.

Eigentlich kann man doch an der Stelle gar nichts tun.

Und später im SQL - ja, verdammt, daran hätte ich auch denken müssen. Da fehlt definitiv ein mysqli_real_escape_string drumherum, oder ein prepare…

Rolf