form data - undgå script sprog?

Du skal bruge funktionen mysql_real_escape_string();
Husk at connect til databasen først :-)

Eksempel:
include('database.php');
$email = mysql_real_escape_string($_POST['email']);

Så det du vil undgå er SQL-injections. Fornuftigt =)

En metode er at bruge mysql_real_escape_string, det i princippet tager en string, og prøver at sørge for at der ikke er indbygget nogen angreb i den.

Der er også en cleanQuery-funktion på dette site http://www.tech-evangelist.com/2007/11/05/preventing-sql-injection-attack/
der skulle være rimelig effektivt.

Udover det, så husk altid at sørge for at kontrollere tilladelserne for din database, sådan så der ikke er adgang til mere end højst nødvendigt.

Undgå at blive udsat for SQL injections:
http://phptips.dk/brug_af_mysql_real_escape_string.tip

så at sætte    
$tekst = mysql_real_escape_string($_POST["tekst"]);
$insert = mysql_query("INSERT INTO tekster (tekst) VALUES ('$tekst')");
ville være fint nok for at forhindre SQL injektion ?
man er self aldrig 100% sikker mht SQL injektion.

inferno89: Det vil være mere sikkert end ikke at gøre det og som du selv konkluderer kan man aldrig være 110% sikker på noget...

hvordan kunne jeg egentlig tjekke hvilke rettigheder man har til mysql databasen ?

Det kan gøres gennem phpMyAdmin panelet, som du nok kan finde i kontrolpanelet hos din hostingudbyder.

jeg kan ikke se rettighederne via phpmyadmin, eller jeg kan ikke finde det ihvertfald. kan du guide lidt derhen af ?

Det burde vidst være et sted under "Privileges" hvis jeg husker rigtigt.

nogen der kan hjælpe mig med hvad jeg skal skrive for at se om der bliver blokeret for sql injection jeg har prøvet mange forskellige koder og har selv lavet nogle men sys aldrig det virker
har lavet en lille test side UDEN protection den ser sådan her ud:

$brugernavn = $_POST["brugernavn"];
$password = $_POST["password"];
$user = mysql_query("SELECT * FROM bruger WHERE brugernavn='$brugernavn'");
if(mysql_num_rows($user) == 0)
{
    $error .= "Brugeren eksisterer ikke.";
}
else
{
    $userArray = mysql_fetch_array($user);
   
    if($userArray["password"] != $password)
    {
        $error .= "Password og brugernavn passer ikke sammen.";
    }
}

har prøvet med '") OR 0'='0; //
så der vil stå
$user = mysql_query("SELECT * FROM bruger WHERE brugernavn=''") OR '0'='0'; //'");
den skriver bare brugeren eksisterer ikke

dette er bare for at se om min side er beskyttet mod det, så derfor må man finde en "kode" som kan knækkes og så se når der er blevet forbedret om den så stadig kan knækkes.

Prøv at kigge på de her to sider, se om du kan finde noget brugbart:
http://en.wikipedia.org/wiki/SQL_injection
og
http://www.unixwiz.net/techtips/sql-injection.html

fra den første er der fx
' or '1'='1' -- '
' or '1'='1' ({ '
' or '1'='1' /* '
eller
a';DROP TABLE `users`; SELECT * FROM `userinfo` WHERE 't' = 't

Den anden ser ud til at være lidt mere detaljeret, mere trin-for-trin, så måske prøve med den, hvis du ikke kan få det andet til at virke.

Der kan også ske mange andre dumme ting end SQL injections. Hvis de her på Eksperten.dk fx ikke sørgede for, at HTML/JavaScript bliver behandlet, ville jeg kunne skrive et JavaScript i tekstfeltet, der så ville blive kørt på alle de computere, der åbner tråden. Måden den slags kan undgås på er ved at køre htmlentities() på al input.

nu har jeg prøvet med en masse forskelligt men intet ser ud til at virke, og de ter på en form der ikke har beskyttelse, så noget må jeg gøre galt.

betalyte hvis du sender svar får du point