[PHP] String richtig anzeigen
- Cydia
- Geschlossen
- Erledigt
-
-
-
Ich bedanke mich klappt.
-
-
Hängt davon ab ob die Variablen Usereingaben sind und nicht eventuell bereits vorher escaped wurde. Ist dem so verschenkt man Performance, die bei PHP eh nicht gerade die beste ist.
-
Ja irgendwie auch logisch. Es kommt auf den User drauf an, wie er es macht. Ich mache es immer nur im Query. Das hat auch seinen Grund. Bevor er es gar nicht macht, lieber einmal erwähnt. Man weiß ja nicht was über dem Query alles steht.
-
Ich wiederhole mich aber gern nocheinmal in diesem Thread.... mysql_escape_real_string verschont nicht vor SQL Injection.
-
Zur aufklärung:
ich benutze MySQLi und der String wird vorher escape. -
mysql_escape_real_string verschont nicht vor SQL Injection.
Wenn es sich dabei denn um eine SQL-Injection handeln würde...
-
Ich musste die ' entfernen, da er mir sonst ...'kunden'... als string von MySQLi anzeigte.
-
Dazu sag' ich nur Backticks (`), nicht Singlequotes ('). Und ganz entfernen ist auch keine gute Idee, da (My)SQL reservierte Keywords und Sprachattribute hat, was zu Fehlern führen kann, wenn die Tabelle wie eben so ein Keyword heißt.
-
breadfish.de
Hat das Thema geschlossen.