MudGuard: Karsten

Beitrag lesen

Hi,

Ok, ich habe mich überzeugen lassen. Dann hätte ich noch eine Frage: In Tutorials werden immer nur die Benutzereingaben ecapet (oder escaped ??). Ich denke, das Escaping kann man nicht auf die gesamte Query anwenden!? Statt

$query = "UPDATE datenbank SET name='" . mysql_real_escape_string($_POST['benutzername']) . "'";

$query = mysql_real_escape_string("UPDATE datenbank SET name='" . $_POST['benutzername'] . "'");

Nein, das geht natürlich nicht.
Beispiel: das ' nach name= muß ja unverändert erhalten bleiben, würde aber mit \ escaped. Ein ' in einem mit '' eingegrenzten Wert dagegen muß escaped werden.

cu,
Andreas

--
Warum nennt sich Andreas hier MudGuard?
O o ostern ...
Fachfragen unaufgefordert per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.