hi,
Gegen MySQL Injection nutze ich derzeit folgende Variablenprüfung:
$myname = stripslashes($myname);
$myname = mysql_real_escape_string($myname);Ist stripslashes denn nötig, wenn ich danach auch mysql_real_escape_string anwende?
stripslashes ist genau dann nötig, wenn die vom Client übermittelten Daten vorher mit unnötigen Shlashes versehen wurden - wie es die Konfigurationsoption magic_quotes_gpc regelt, was man also vorher abfragt.
gruß,
wahsaga
--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }