Hallo zusammen,

Nochmal zum Mitschreiben:

Magic Quotes sind aus. Was soll eurer Meinung in der Datenbank stehen, wenn man \n\r"' oder meinetwegen auch "Texas Hold'em" der Funktion mysqli_real_escape_string() übergibt und das Ergebnis wiederum an eine INSERT-Anweisung? Vielleicht habe ich ja auch etwas Grundsätzliches nicht oder falsch verstanden.

Wenn ich Prepared Statements verwende, muss ich Werte nicht escapen?

Viele Grüße,

Stefan