Sql in href

Hoe bedoelt u precies ?

ja via php get tags
dus zoiets
http://www.voorbeeld.nl/iets.html?hoi=nieuwlid
en de pagina met php (iets.html):

if($_GET['hoi'] == nieuwlid)
{
mysql_query("insert bla bla");
}

ps. je moet .htaccess maken als je .html extensie gebruikt.
Of je doet simpelweg een .php van maken dus .php?hoi=nieuwlid

opgelost?
zoja zet er een slotje op

Om eerlijk te zijn vind ik dit ook niet echt een heel net voorbeeld, ik kan zo een sql injectie sturen naar je en je site ligt down.

Je zou op meer dingen moet checken als je een $_GET gebruikt en verder is het wel echt nodig om die query daar uit voeren?

Wat ze ermee bedoelen. Als jij een ID ontvangt van een topic of een bericht via een $_GET.

Filter deze dan, bv door een (int) ervoor zodat er alleen getallen inkunnen komen.

of is_numeric. Dan controleer je of de string alleen nummers bevat.

Dit zijn kleine dingentjes waardoor er geen injecties mogelijk zijn in je DB.

NielsB: Dat voorbeeld zit geen SQL-injection in...

Extreme: Inderdaad, maar een voorbeeld lijk te wel nodig:

<?php




if(isset($_GET['delete_id'])) {
   mysql_query("DELETE FROM test WHERE id = ". intval($_GET['id]));
}


?>

Vaak zou je niet willen dat een lid iets met ieder willekeurig ID kan verwijderen, maar ik weet niet hoe jouw situatie is.

Ps. Niet in iedere database tabel hoeft een ID te zitten! Maar dat is weer een andere kwestie.

@Killingdevil,
Daarmee maak je toch alleen een mogelijk(e) INT van de input?
Je moet dan toch alsnog checken op een INT? Daarom zou ik het zo doen:

<?php
// Aanroepen met script.php?delete_id={id}
if(isset($_GET['delete_id']) && is_numeric($_GET['delete_id'])){
   mysql_query("DELETE FROM test WHERE id = ".intval($_GET['id']));
}
?>