Hallo,
hab eigentlich ne relativ einfache Frage muss ich wenn ich daten aus meinem Gästebuch so(codeschnipsel):
mysql_query("INSERT INTO entries(name,...) VALUES('".htmlentities($_POST['a432z'])....
in meine Datenbank schreibe noch mysql_real_escape_string anwenden?? Eigentlich macht doch htmlentities schon das Ausreichende??
Ich frag nur weil ich in einem anderen Forum gelesen habe:

Unbedingt auf ALLES was vom USER in den QUERY kommt das hier anwenden:
PHP-Quellcode:
<?php
if(get_magic_quotes_gpc() == 1)
{
   $_POST['input'] = stripslashes($_POST['input']);
}
$_POST['input'] = mysql_real_escape_string($_POST['input']);
?>

MFG Marc