[dtdesign]

Hallo,

da ich über die Boardsuche nichts gefunden habe, was mir meine Frage genau erläutert, frage ich hier nochmal nach.

Für gewöhnlich werden alle Eingaben die an die Datenbank gehen jage ich durch mysql_real_escape_string(). Jedoch erfordert dies immer eine aktive Datenbankverbindung zu MySQL. Ich habe daher überlegt, ob es eine alternative gäbe, z.B.: htmlentities($str,"ENT_QUOTES","UTF-8").

Kann mir da jemand weiterhelfen oder eventuell ein wenig aus seinen Erfahrungen erzählen?

Gruß
dtdesign

[Ben]

Zitat:

Zitat von dtdesign

Eingaben die an die Datenbank gehen jage ich durch mysql_real_escape_string(). Jedoch erfordert dies immer eine aktive Datenbankverbindung zu MySQL.

Ja, und wo ist das Problem?

Ich meine .. wenn du die Daten sowieso an die DB schicken willst, dann ist doch sowieso eine Verbindung vorhanden, oder nicht?

[Jann Hendrik]

ich denke, dass es dir um das geht, was hier besprochen wurde:
http://forum.developers-guide.net/showthread.php?t=159

htmlentities und mysql_real_escape_string machen etwas komplett anderes. Da kannst du kein "vs" zwischensetzen.
Lies doch mal die Doku auf php.net

MfG Jay

[dtdesign]

*tilt* Ja natürlich...

@Ben: Richtig, irgendwie war bei mir mehr als nur ein Knick in der Optik drin
@Jann Hendrik: Vielen lieben Dank, dass war eigentlich genau das, was ich gesucht hatte
@Jay: So weit auch richtig, allerdings ging meine Frage eher in die Richtung von Jann Hendriks Post.

$thread = new Thread('3975');
$thread->setStatus('solved');



Gruß
dtdesign

In Jann Hendriks Post geht es um SQL Injections und mit htmlentities hast du null schutz gegen Sql Injections!

[Jann Hendrik]

was ja aber auch nicht bestritten wird.

Zitat:

was ja aber auch nicht bestritten wird.

Das nicht, aber wenn sich seine Frage zu SQL Injections bezieht und er anscheinden glaubt, dass htmlentities hier schützen könnte....

[Ben]

Sein Problem ist gelöst ... also einfach über verkorkste Ausdrucksweisen hinweglesen.

Stop spam, else the thread is closed.