$q1 = "select * from class_members where MemberID = '$_GET[MemberID]' ";
Dat is niet echt veilig.
Mensen kunnen nu (bijv...) de volgende url intypen:
script.php?MemberID='; MYSQL_QUERY("DELETE FROM calss_members"); echo "
En dan wordt alles verwijderd. (Kweet niet zeker of het werkt, maar ik denk het wel....).
Op dat soort dingen moet je dus letten.
Je kan beter:
<?
if(is_numerid($_GET[MemberID]))
{
$memberid = $_GET['MemberID'];
}
else
{
$memberid = "";
}
?>
en dan je query:
<?
$q1 = "select * from class_members where MemberID = '$memberid' ";
?>
Ook moet je opletten hoe je include. Maar dat is al verteld
.
//Edit:
Dit is ook niet echt veilig, mensen kunnen zo gewoon <noscript><plaintext> e.d. doen, maakt niet veel uit aangezien ze niet heel veel schade kunnen doen maar toch...
$to = $aset[ContactEmail];
$subject = $_POST[subject];
$message = $_POST[message];
-->
$to = htmlentities(addslashes($aset[ContactEmail]));
$subject = htmlentities(addslashes($_POST[subject]));
$message = htmlentities(addslashes($_POST[message]));
Moet je alleen wel bij de output weer stripslashes($to) / $subject e.d. gebruiken.