Tweet
hi,
ich habe ein normales registrierungsformular für benutzer, die sich bei meiner login-klasse anmelden. zum thema sicherheit validiere ich schon von meiner formularklasse selbst alle eingaben, die vom benutzer kommen. allerdings möchte ich z.b. beim benutzernamen alle möglichen zeichen erlauben, also auch kritische wie ', " oder html-tags (die entschärft werden).
jetzt ist meine frage, ob ich zum sicheren eintragen in die datenbank (mysql) nur addslashes() (bzw. ich habe eh magic_quotes auf "on") brauche oder nur htmlentities() (um html-tags zu entwerten, quotes werden da ja automatisch in html-entities umgewandelt.). oder führt ihr noch weitere schritte vor der eintragung in die db durch? wie macht ihr das in euren scripts?
ich freue mich auf eure antworten
ich habe ein normales registrierungsformular für benutzer, die sich bei meiner login-klasse anmelden. zum thema sicherheit validiere ich schon von meiner formularklasse selbst alle eingaben, die vom benutzer kommen. allerdings möchte ich z.b. beim benutzernamen alle möglichen zeichen erlauben, also auch kritische wie ', " oder html-tags (die entschärft werden).
jetzt ist meine frage, ob ich zum sicheren eintragen in die datenbank (mysql) nur addslashes() (bzw. ich habe eh magic_quotes auf "on") brauche oder nur htmlentities() (um html-tags zu entwerten, quotes werden da ja automatisch in html-entities umgewandelt.). oder führt ihr noch weitere schritte vor der eintragung in die db durch? wie macht ihr das in euren scripts?
ich freue mich auf eure antworten
Kommentar