Sicherheitsscript sidescripting

Sidescripting? Noch nie gehört. Meinst du Crossscripting?
Wenn Userdaten in eine DB kommen, dann musst du zusätzlich noch eine Funktion wie mysql_real_escape_string() verwenden, um sogenannte SQL Injections zu verhindern.

Gruss

tobi

ja ich meinte crossscripting und habe dazu jetzt folgendes gefunden


$link = mysql_connect("localhost","root","");

$query = sprintf("INSERT INTO products (`name`, `description`, `user_id`) VALUES ('%s', '%s', %d)",
mysql_real_escape_string($product_name, $link),
mysql_real_escape_string($product_description, $link),
$_POST['user_id']);

mysql_query($query, $link);

wenn ich vorher $product_name und $product_description mit htmlspecialchars() bearbeite und dann wie folgt in die datenbank einfüge dürfte ich doch auf der sicheren seite sein, oder etwa nicht?
ich habe aber iwi noch probleme was die syntax angeht.. warum steht dort VALUES ('%s', '%s', %d) habe diese syntax mit %s,... und dann erst "mysql_real_escape_string($product_name, $link),..." noch nie gesehen.
haben %s, %s,%d irgendeine bedeutun oder kann ich

mysql_real_escape_string($product_name, $link),
mysql_real_escape_string($product_description, $link),
$_POST['user_id'])
auch an deren stelle schreiben und ändert sich dann was bezüglich der sicherheit?

sprintf()

mysql_real_escape_string() bei der Eingabe und html_specialchars ERST bei der Ausgabe reicht vollkommen. In welcher Form du das verwendest (Stringverkettung, sprintf, ...) bleibt dir überlassen und ist geschmackssache. Ich für meinen Teil finde ersteres am übersichtlichsten. Gleiches behaupten andere aber auch von sprintf().