Formulareingaben

wenn in deiner php.ini magic_quotes_gpc auf off gestellt ist, solltest du noch addslashes einbauen, um sql-injections zu verhindern.

gruß
peter

@Kropff: Von dir würde ich langsam etwas mehr erwarten, als hier wieder mal unsinnigerweise addslashes zu empfehlen!
Falls magic_quotes_gpc aktiviert ist, sollten die Daten eigentlich erst mal mittels stripslashes davon befreit werden.
Und gegen SQL-Injections o.ä. sichert man sich dann mit den dafür zuständigen Funktionen ab, in dem Moment wo man es benötigt.


Btw: *verschieb*, da kein clientseitiges Problem.

????
wenn magic_quotes auf off ist, kann man logins überlisten (where 1 = 1) richtig?
und stripslashes sollte man imho erst bei der darstellung der inhalte einsetzen, sonst gibts bei eingaben in die db probleme. richtig?

peter

Nein, (eher) falsch.
SQL Injections werden möglich, wenn Übergabeparameter für die DB nicht ausreichend abgesichert werden. Dafür gibt es passende Funktionen, wie bspw. mysql_real_escape_string() für MySQL.
magic_quotes_gpc ist lediglich ein halbtauglicher "Schutz" allzu sorg- oder ahnungsloser Drauflosprogrammierer vor sich selbst (ja, es bewirkt weitgehend(!) das gleiche und automatisch - aber sich auf so etwas zu verlassen hat mit ernsthaftem und sicherheitsbewusstem Programmieren nicht mehr viel zu tun ...).
Nein, falsch.

Aber dazu jetzt nichts weiteres mehr von mir, das Thema haben wir bereits mehrmals in aller epischen Breite durchdiskutiert.