Zitat Zitat von bulli Beitrag anzeigen
Was kann man eigentlich nun mei solchen Addons machen, bei denen man Text eingeben kann und in einer DB gespeichert wird, damit dort keine SQL Injections ein gefügt werden können oder das man keine Daten aus der DB auslesen kann?

mhm entweder durch die funktion mysql_real_escape_string sofenr es sich um eine mysql db handelt, das macht aber das vms sowieso schon wenn du db_query anstatt mysql_query benutzt. oder magic_quotes_gpc. aber beides auf garkeinen fall. denn das ist sozusagen wie doppelt negieren ;D (stripslashes() benutzen dann!, magic_quotes is aber eh veraltet und wird bald eh abgesrtz *g*)
ansonsten könntest du immer den typ umwandeln des übergebenen paramters, z.b. in int