Hallo Zusammen!
Ich entwickle gerade eine einfache Benutzerregistrierung.
Das sieht folgendermaßen aus:
Wenn der User das Formular abschickt und ein Feld vergessen hat werden natürlich die schon eingegebenen Felder mit den Eingaben befüllt.
Die Prüfung sieht so aus:
später schreibe ich dann $values['surname'] in die DB.
Natürlich bereinige ich die Variable im SQL String mit mysql_reals_escape ...
Nun wollt ich mal fragen ob ich später evtl. Probleme bekomme wenn ich den htmlspecialchars string in die DB speichere, oder sollte ich ihn lieber ohne htmlspecialchars speichern, und die Funktion immer dann verwenden, wenn ich die Eingaben ausgeben. Cross Site Scripting will ich dadurch vermeiden.
Beim Kennwort z.B. bekomme ich hier schon Probleme wenn ich den htmlspecialchars string in die DB speichere...
Danke für Eure Anregungen.
Malungo
Ich entwickle gerade eine einfache Benutzerregistrierung.
Das sieht folgendermaßen aus:
Wenn der User das Formular abschickt und ein Feld vergessen hat werden natürlich die schon eingegebenen Felder mit den Eingaben befüllt.
Die Prüfung sieht so aus:
PHP-Code:
/* Name */
if (!empty($_POST['surname'])) {
$values['surname'] = htmlspecialchars(trim($_POST['surname']));
if (!preg_match("/^[a-zA-ZäüößÄÜÖ -]*$/", $_POST['surname'])) {
$errors['surname'] = "Ungültige Zeichen im Namen";
}
} else {
$errors['surname'] = "Geben Sie einen Namen ein";
}
Natürlich bereinige ich die Variable im SQL String mit mysql_reals_escape ...
Nun wollt ich mal fragen ob ich später evtl. Probleme bekomme wenn ich den htmlspecialchars string in die DB speichere, oder sollte ich ihn lieber ohne htmlspecialchars speichern, und die Funktion immer dann verwenden, wenn ich die Eingaben ausgeben. Cross Site Scripting will ich dadurch vermeiden.
Beim Kennwort z.B. bekomme ich hier schon Probleme wenn ich den htmlspecialchars string in die DB speichere...
Danke für Eure Anregungen.
Malungo
Kommentar