[orreborre]

Det finns något som heter SQL-injection, viket innebär att en ond användare t.ex. fyller i en inloggning enligt följande:

Om din sqlfråga ser ut såhär:

$sql = mysql_query("SELECT * FROM user WHERE user = '$_POST[Anv]' AND pass = '$_POST[Pass]'");

Då kan en ond användare skriva:

Anv: ' OR id=1
Pass: ' OR 1=1

Detta ger:
$sql = mysql_query("SELECT * FROM user WHERE user = '' OR id=1 AND pass = '' OR 1=1");

Då blir denna person inloggad som personen med id 1, vilket ofta är en administrator.
Detta är och ett relativt snällt exempel, man kan exekvera andra kommandon.

Det finns en del säkerhetsåtgärder inbyggda i en del SQL-servrar, men man bör aldrig tillåta användare att skicka in ' i databasen, om det är en text som ska läggas in och man vill tillåta ' kan man alltid använda addslashes().

Mvh