mysql_escape_string()

**Troublegum** · 29.04.2003, 00:38

addslashes und mysql_escape_string sind das selbe. Das macht keinen Unterschied. Bei addslashes hast du den Vorteil, dass es seit php3 dabei ist. mysql_escape_string gibt es "erst" seit 4.0.3.
Mit HTML kann man meines Wissens keine SQL Abfragen manipulieren.

Du musst bei Strings lediglich Anführungszeichen aussen herum setzen und Anführungszeichen im eigentlichen String mit addslashes maskieren (falls die magic_quotes_gpc einstellung das nicht schon getan hat).
Bei Zahlwerten solltest du vorher auch (int) benutzen, um sicherzugehen, dass die Eingabe wirklich eine Zahl ist..

**goth** · 29.04.2003, 00:47

Unter umständen (wenn Du PHP >= 4.3.0 verwenden kannst) würde ich sogar string mysql_real_escape_string ( string unescaped_string [, resource link_identifier]) denn diese berücksichtigt sogar den für die Connection eingestellten Character Set ... damit denkst Du gleich noch in die Zukunft.

Zudem werden hierbei % und _ nicht escaped (gilt auch für mysql_escape_string()) ... was Suchfunktionen vereinfacht.

Ich persönlich denke immer man sollte die Funktionen verwenden die von einer Programmiersprache (od. Bibliothek) für eine spezielle Aufgabe zur Verfügung stellt und ziehe daher gerne Spezialisten einem Generalisten vor.

**crisdoe** · 29.04.2003, 10:43

... o.k, aber dennoch meine Frage:

bin ich auf der sicheren seite wenn ich nur mysql_escape_string () vor dem QUERY auf die Variablen aus dem user-input anwende und htmlentities sowie stripslashes bei der ausgabe aus der datenbank?

... ist das genau so sicher wie addslashes und htmlentities beim eintragen in die datenbank?

gruss, crisdoe

**MelloPie** · 29.04.2003, 10:52

Was bedeutet kein HTML in die Datenbank?
Alles mit htmlentities oder suchst Du evt. strip_tags() ?

**crisdoe** · 29.04.2003, 11:51

Was bedeutet kein HTML in die Datenbank?
Alles mit htmlentities oder suchst Du evt. strip_tags() ?

die datenbank sollte keine html codierten sonderzeichen enthalten, also z.B ü und nicht uuml;

strip_tags wäre eigentlich das richtige, funktioniert aber nicht immer wie gewünscht, z.b bei fehlerhaften tags oder nicht geschlossenen...
deshalb habe ich davon abstand genommen.

... bisher habe ich htmlentities genommen, so wurde alles wie z.b <script>... entschärft, jetzt, da htmlentities/htmlspecialchars für mich ausfällt gehen solche eingaben direkt in die datenbank.
in der ausgabe dagegen möchte ich natürlich htmlentities anwenden...

**Troublegum** · 29.04.2003, 18:42

Ähm, wo ist denn das Problem ?
Die Eingaben speicherst du unverändert (nur mit addslashes bzw. mysql_escape_string) maskieren.

Bei der Ausgabe wendest du einfach htmlentities auf den Datenbankinhalt an. Stripslashes ist nur nötig, wenn magic_quotes_runtime aktiviert ist.

**crisdoe** · 29.04.2003, 20:25

das war ja genau die frage!

ich war mir nich sicher ob diese variante auch wirklich optimal ist. also beim eintragen addslashes, beim ausgeben htmlentities = sichere seite

thx,
crisdoe

**Troublegum** · 29.04.2003, 21:45

Ja, damit bist du auf der sicheren Seite.

**crisdoe** · 29.04.2003, 22:00

i believe

gruss, crisdoe

mysql_escape_string()