Zitat Zitat von breaker Beitrag anzeigen
Was genau soll das bringen?

Das:
PHP-Code:
if (!isset($_POST['buy']))    $_POST['buy']= ""
stellt nur fest ob "buy" im _POST-Array vorhanden ist, ist es nicht vorhanden wird es ja noch vernünftig deklariert, ist es aber vorhanden, wird es nicht mal auf Inhalt geprüft.

Vernünftiger wäre hier sowas (wenn "buy" ein string ist):

$buy = (!isset($_POST['buy']) ? '' : addslashes($_POST['buy']));

Wobei das ganze natürlich auch über andere Funktionen escapt werden kann/darf

Achso.das ist auch kein SQL, sondern ein PHP-Injection ;-)
addslashes Ist nicht sicher lässt sich sehr einfach aus hebeln..
Wenn du weißt das da nur eine Ganzzahl kommen darf, dann sollte man das auch darauf Prüfen.
Und wenn du die ID so wie sie in die $var gespeichert ist an deine DB via aufruf übergibst ist es eine SQL Injektion

PHP wäre wenn du Include($_POST["pagename"].".php"); machen würdest
Denn pagename= http://meineurl.tls/bösesscript führt das dann aus.