Hi
Du hast doch beim Login ein Feld wo der Benutzer einen Username eingeben kann.
Der Benutzer könnte jetzt dort einen SQL Befehl eingeben.
Du wirst mir jetzt sagen ich habe doch die funktion mysql_real_escape_string().
Ich sage dir prüfe trotzdem ob der Benutzername wohlgeform ist. Das heißt ob er nur aus Buchstaben oder Zahlen besteht. Dann würde der String erst gar nicht an die Funktion mysql_real_escape_string() weiter gegeben werden.
Wieso das alles. Was ist wenn die funktion mysql_real_escape_string() einen Bug hat?
Nochmal: Traue keinen Benutzereingaben. Das heißt alles was in den $_COOKIE, $_GET, $_POST, $_REQUEST Arrays steht ist gefährlich.
Die Funktion die du suchst ist preg_match
Mfg Akkie