|
Die letzten 5 Postings in diesem Thema » Alle anzeigen
von raiserle |
danke.
ja, hast recht. manchmal passieren durch magic_quotes schon lustige dinge in der datenbank.
gruß raiserle |
von languitar |
magic quotes sind ein Graus, solange du halbwegs weißt, was du tust. Mit Glück kannst du die manuell abschalten mit nem ini_set (guck mal ins PHP-Handbuch). Setzt aber dann auch voraus, dass du wirklich überall mysql_real_escape benutzt. Das Problem mit den magic quotes ist, dass sie nicht SQL konform escapen. Dadurch enstehen dann halt so komische Sachen mit zu vielen Escapes etc. |
von raiserle |
bitte nicht gleich schalgen.
aber, wenn magic_quotes_gpc an ist, ist dann trotzdem mysql_real_escape_string
notwendig?
weil, es werden doch sämmtliche ' zu \' maskiert
und selbst wenn \' wird doch dann raus \\\' weil, wie gesagt, magic_quotes_gpc
escaped ja schon alles. |
von languitar |
Single-Quotes sind für Zahlen laut SQL-Syntax nicht notwendig. Die mögliche Injection lässt sich problemlos mit mysql_real_escape behandeln, was auf jeden Fall auch gemacht werden sollte. |
von jan2k_s |
achtung ...
wenn $id bzw. $_GET['id'] nicht überprüft wird kann da jeder was er will select'en! -> sql injection
zudem würde ich immer hochkomma verwenden
WHERE (`user_id` = ".$id." ->
WHERE (`user_id` = '".$id."' |
|
|
|