Dat is precies het principe waarop SQL injection (een veiligheidslek) ook berust. Beveilig variabele die je in je query gebruikt daarom altijd met [php]mysql_real_escape_string()[/php].
Ik snap niet precies wat u ermee bedoeld en in het voorbeeld dat u erbij deed word het ook niet duidelijker van..
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));
staat op die site.. hoe worden die '%s ' dan ingevuld??
en op de mannier hoe ik het doe moet het toch ook mogelijk zijn?
De twee %s (van string) komen dan vanaf de 2e en de opvolgende parameter, in dit geval de $user en $password, welke door mysql_real_escape_string() gaat.
Met die functie kan je schadelijke tekens escapen voordat je ze in MYSQL stopt.
