Hi!

Bist du dir sicher, dass du solchen fehlerhaften Code übernehmen willst? Wenn der Autor schon darauf nicht geachtet hat, dann ... aber das wäre nur Spekulation.

Ja - weil ich nicht mal eben ein halbes Jahr in neuen Code investieren will - da kümmere ich mich lieber 2 Tage um die paar Sicherheitslücken (das ist zwar nicht optimal - aber ich habe es einfach mal abgewägt und das ist so viel Arbeit, dass ich es nicht neu schreiben werde.

Können kann man schon, besser als nichts ist es schon. Empfehlenswert wäre noch, die Konfiguration von magic_quotes_gpc zu beachten und die gegebenenfalls automatisch eingefügten Slashes vor dem mysql_real_escape_string()-Aufruf zu entfernen.

Besser als nichts = "Suboptimal"?
Wo ist das Problem dabei? Wäre es denn theoretisch besser, das an jeder Stelle einzeln hinzuschreiben, wenn eine GPC-Variable genutzt wird? Wo wäre der Unterschied?

magic_quotes_gpc = on ; (ja, vielleicht nicht ganz optimal - aber ich kann es derzeit nicht ändern)

<?php
$postkeys = array_keys($_POST);
foreach($postkeys as $key) {
   $_POST[$key] = mysql_real_escape_string(stripslashes($_POST[$key]));
}
?>

Freundliche Grüße aus Nürnberg,
Tobias