Hallo miteinander,

ich bastele gerade ein HTML Formular, das Kundendaten aufnimmt und dann über ein Script auswertung.php in eine Datenbank übernimmt.

Jetzt möchte ich es natürlich den Spaßvögeln schwer machen, die mit einer SQL Injection die Datenbank manipulieren wollen.

Übergeben werden nur Name, Adresse, PLZ, Ort, Land, Tel, Email, das Übliche eben.

Mache ich denn auswertung.php sicher, wenn ich mit addslashes() arbeite, so etwa:

foreach($_GET as $key=>$value)
 {
   $_GET["$key"] = addslashes($value);
 }

Oder soll ich auch noch die Länge der Strings überprüfen, da ich auch nicht will, dass mir jemand als Adresse den kompletten Bibel-Text übergibt.

Und: bin ich mit diesen beiden Methoden dann auf der sicheren Seite?

Dank und Gruss

Olaf