Zitat:
PHP-Code:
mysql_query("UPDATE `members` SET `firstname` = '".$_POST['firstname']."', `lastname` = '".$_POST['lastname']."', `login` = '".$_POST['login']."', `email` = '".$_POST['email']."' WHERE `member_id` = '".$_POST['member_id']."'");
|
*hust*
SQL-Injection - Wikipedia !!!
Und weils so schön ist:
Zitat:
PHP-Code:
echo '
<a href="?action=edit&member_id='.$row['member_id'].'"><img src="images/icons/edit.gif" border="0" height="16" width="16" alt="" /></a> - '.$row['firstname'].' '.$row['lastname'].' '.$row['login'].' '.$row['email'].' <br>';
|
http://de.wikipedia.org/wiki/Cross-Site_Scripting
Aufpassen! htmlspecialchars und mysql_real_escape_string möchten deine Freunde werden.