Zitat von
Luckie:
Code:
$_REQUEST['news_text'] = stripcslashes(htmlspecialchars($_REQUEST['news_text']));
echo $_REQUEST['news_text'];
$
sql = "INSERT INTO `{$m_präfix}archiv` (`format`, `header`, `subject`, `text`, `an`, `timestamp`) VALUES ('$format2', '$header', '$_REQUEST[news_betreff]', '$_REQUEST[news_text]', '$send^$rows', '$time')";
mysql_query($
sql);
@mysql_close();
huch, da sind ja die Türen weit offen für Angriffe - man sollte NIE Werte vom Client ($_REQUEST) direkt als String in eine
SQL-
Query einbauen. Ich würde unbedingt die Strings mit
mysql_escape_string escapen - dann hättest du nämlich auch kein Problem, wenn Mails ' enthalten.