Hallo SELF-Community!

Ich wollte jetzt nicht extra einen neuen Beitrag erstellen und hoffe, daß dieses Posting hier jetzt noch von wem gesehen wird. :-)

Mir ist hier geraten worden, Daten, die ein User über ein Formular eingegeben hat, zu überprüfen, bevor die Daten an die DB weitergegeben und gespeichert werden, um mich gegen SQL Injection und andere Bösartigkeiten zu schützen.

Ich habe mich da jetzt schlau gemacht und würde die Sache folgendermaßen lösen : Angenommen, einer der über ein Formular per "POST" übermittelten Werte ist der Wert "$beispielwert". Dann folgender Code :  [...]

  
$beispielwert=$_POST['beispielwert'];  
$beispielwert=strip_tags($beispielwert);  
if(get_magic_quotes_gpc())  
 {$beispielwert=stripslashes($beispielwert);}  
if(!is_numeric($beispielwert))  
 {$vorname="'".mysql_real_escape_string($beispielwert)."'";}  

...und in weiterer Folge dann die Speicherung des Wertes "$beispielwert" in die DB.

Nun 2 Fragen dazu :

1.) Ist das der ideale und richtige Weg, um mich zu schützen, wenn ich dieses Codebeispiel bei jedem Teil, also jeder übergebenen Variable, eines Datensatzes anwende?

2.) Was ich nicht hinbekomme : Angenommen, ich möchte, daß eine Eingabe einer URL mit oder ohne http:// als _anklickbarer Verweis_ wieder ausgegeben wird. Wie mache ich das?

Mit bestem Dank im Votraus und freundlichen Grüßen

Der Brombeermilchtrinker