php.de - Einzelnen Beitrag anzeigen - mysql_real_escape_string / Sicherheit

Wolla · 10.05.2009, 17:03

Einen MD5-Hash brauchst du nicht zu escapen - der enthält keine Sonderzeichen.

Die Magic Quotes kannst du auch direkt aus dem POST-Array streichen lassen. Zugleich kann man überflüssige Leerzeichen entfernen:

PHP-Code:

  foreach ($_POST as $key => $value ) {
  if ( get_magic_quotes_gpc() ) {
    $value = stripslashes($value);
  }
  $_POST[$key] = trim($value);
}

Im Script kannst du dann ganz normal mit $_POST weiterarbeiten. Wenn eine Variable nur numerische Werte annehmen darf, dann kannst du mit intval() oder (int) arbeiten:

PHP-Code:

  $_POST['alter'] = (int) $_POST['alter'];

Erst wenn Zeichenketten in einen Querystring gebaut werden müssen, erst dann kommt mysql_real_escape_string zum Einsatz:

PHP-Code:

  $sql = "SELECT name FROM user 
          WHERE name ='" . mysql_real_escape_string($_POST['name']) . "'";

10.05.2009, 17:03
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.847 PHP-Kenntnisse: Fortgeschritten	Einen MD5-Hash brauchst du nicht zu escapen - der enthält keine Sonderzeichen. Die Magic Quotes kannst du auch direkt aus dem POST-Array streichen lassen. Zugleich kann man überflüssige Leerzeichen entfernen: PHP-Code: `foreach ($_POST as $key => $value ) { if ( get_magic_quotes_gpc() ) { $value = stripslashes($value); } $_POST[$key] = trim($value); }` Im Script kannst du dann ganz normal mit $_POST weiterarbeiten. Wenn eine Variable nur numerische Werte annehmen darf, dann kannst du mit intval() oder (int) arbeiten: PHP-Code: `$_POST['alter'] = (int) $_POST['alter'];` Erst wenn Zeichenketten in einen Querystring gebaut werden müssen, erst dann kommt mysql_real_escape_string zum Einsatz: PHP-Code: `$sql = "SELECT name FROM user WHERE name ='" . mysql_real_escape_string($_POST['name']) . "'";`