Frage zu mysql_real_escape_string

  • Dürfte nicht funktionieren weil du damit deine eigene SQL-Commands ungültig machst ;)
    Musst übrigens nur Spielereingaben Escapen.


    Vielen Dank für die schnelle Antwort, ich wusste nicht, dass ich meine eigenen SQL-Commands damit ungültig mache, weil ich dabei irgendwie nicht ganz mitgedacht habe, dass wenn ich den kompletten SQL-Befehl escape, keine MySQL Handlung mehr folgen kann, da MySQL nichtmal mehr weiß, dass das an MySQL gerichtet war :S

  • mysql_real_escape_string sowie mysql_escape_string makieren die Werte in der SQL Syntaxe. Das hilft leider nicht wenn man seine
    Plattform wirklich schützen möchte.
    Ich nutze daher PDO, empfehlens wert sind PDO oder MySQLi :)


    Naja msql_real_escape_string ist leicht zu verwenden


    PHP
    <?php
    [..]
    $username = mysql_real_escape_string($_POST['username']);
    $select = "SELECT * FROM profile WHERE username='$username'";
    $result = mysql_query($select);
    [...]
    ?>


    zum Beispiel :)

    Wer PALWAL-Sternchen vergibt, bekommt aus Prinzip ein Like 😏


    @palwal Donald Trump ist einer der besten Präsidenten welche die USA je hatte, meine Meinung.