Frezl
Erfahrenes Mitglied
Hallo allerseits,
ich habe jetzt schon ein Wenig im Forum rumgesucht und einige Threads zum Thema gelesen, aber noch nicht so richtig die Antwort auf meine Frage gefunden: Wie muss ich Strings richtig escapen, damit die Original-Eingaben erhalten bleiben?
Bis jetzt habe ich Eingaben immer mit trim (htmlspecialchars ($string)) gesichert. Das wird auch in vielen Threads empfohlen. Leider wird dadurch der String verändert. Die Ausgabe in HTML sieht zwar aus wie das Original, aber in Wahrheit sind die Zeichen ja durch ihre Entities ersetzt.
Jetzt habe ich mir mysql_real_escape_string ($string) genauer angeschaut. Da weiß ich aber nicht so genau, wie ich die Ausgabe bearbeiten muss, dass die Slashes wieder verschwinden. Langt da strip_slashes ($string)? Bleiben aber immer noch die Slashes in der Datenbank, wo ich mir nicht so sicher bin, ob die mir mal auf irgend eine Weise Probleme bereiten werden.
Gibt es nicht eine Option, dass PHP automatisch alle Strings in Queries maskiert und beim Abrufen wieder demaskiert, sodass ich mich darum gar nicht kümmern muss?
Wie ist euer generelles Vorgehen?
Würde mich über einige Tipps freuen!
Viele Grüße,
Frezl
ich habe jetzt schon ein Wenig im Forum rumgesucht und einige Threads zum Thema gelesen, aber noch nicht so richtig die Antwort auf meine Frage gefunden: Wie muss ich Strings richtig escapen, damit die Original-Eingaben erhalten bleiben?
Bis jetzt habe ich Eingaben immer mit trim (htmlspecialchars ($string)) gesichert. Das wird auch in vielen Threads empfohlen. Leider wird dadurch der String verändert. Die Ausgabe in HTML sieht zwar aus wie das Original, aber in Wahrheit sind die Zeichen ja durch ihre Entities ersetzt.
Jetzt habe ich mir mysql_real_escape_string ($string) genauer angeschaut. Da weiß ich aber nicht so genau, wie ich die Ausgabe bearbeiten muss, dass die Slashes wieder verschwinden. Langt da strip_slashes ($string)? Bleiben aber immer noch die Slashes in der Datenbank, wo ich mir nicht so sicher bin, ob die mir mal auf irgend eine Weise Probleme bereiten werden.
Gibt es nicht eine Option, dass PHP automatisch alle Strings in Queries maskiert und beim Abrufen wieder demaskiert, sodass ich mich darum gar nicht kümmern muss?
Wie ist euer generelles Vorgehen?
Würde mich über einige Tipps freuen!
Viele Grüße,
Frezl
Zuletzt bearbeitet: