Moderator
Tweet
guck mal in $sql rein, da stehts wahrscheinlich auch genau so drin, wie es bemängelt wird. 
du musst sprintf auch richtig einsetzen.
Der paramter wird doch gar nicht benutzt. Statt dessen hast du '".$info->filename."', immer noch ohne zu escapen im String stehen....
Aus
'".$info->filename."',
wird
'".mysql_real_bla_bla($info->filename)."',
du musst sprintf auch richtig einsetzen.
Der paramter wird doch gar nicht benutzt. Statt dessen hast du '".$info->filename."', immer noch ohne zu escapen im String stehen....
Aus
'".$info->filename."',
wird
'".mysql_real_bla_bla($info->filename)."',
Kommentar