wahsaga: Validierung von Formular-Feldern und Variablen

Beitrag lesen

hi,

Gegen MySQL Injection nutze ich derzeit folgende Variablenprüfung:

$myname = stripslashes($myname);
$myname = mysql_real_escape_string($myname);

Ist stripslashes denn nötig, wenn ich danach auch mysql_real_escape_string anwende?

stripslashes ist genau dann nötig, wenn die vom Client übermittelten Daten vorher mit unnötigen Shlashes versehen wurden - wie es die Konfigurationsoption magic_quotes_gpc regelt, was man also vorher abfragt.

gruß,
wahsaga

--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }