Stichwort: SQL-Injektion!!
Gebt mal unter http://trashmail.net/ eine Email Adresse mit diesem ' Zeichen ein. Sofort tritt ein Fehler auf.
Mit speziellen Anfragen kann ein Boesewicht dann eure Datenbank manipulieren, oder im schlimmsten Falle sogar euren Server uebernehmen!
Ihr macht es dem Angreifer sogar besonders leicht, da noch zusaetzlich die Fehlermeldung eingeblendet wird!
Mehr Infos dazu gibt euch Wikipedia. http://de.wikipedia.org/wiki/SQL-Injektion
Ihr koennt euch ganz einfach schuetzen, indem ihr Anfragen mit mysql_real_escape_string() behandel. Mehr Info's hier:
http://de.php.net/manual/de/function.my ... string.php
Ich hoffe ich konnte euch helfen!!
Gruss
euer Bugreporter
