Hi,
Ok, ich habe mich überzeugen lassen. Dann hätte ich noch eine Frage: In Tutorials werden immer nur die Benutzereingaben ecapet (oder escaped ??). Ich denke, das Escaping kann man nicht auf die gesamte Query anwenden!? Statt
$query = "UPDATE datenbank SET name='" . mysql_real_escape_string($_POST['benutzername']) . "'";
$query = mysql_real_escape_string("UPDATE datenbank SET name='" . $_POST['benutzername'] . "'");
Nein, das geht natürlich nicht.
Beispiel: das ' nach name= muß ja unverändert erhalten bleiben, würde aber mit \ escaped. Ein ' in einem mit '' eingegrenzten Wert dagegen muß escaped werden.
cu,
Andreas
--
Warum nennt sich Andreas hier MudGuard?
O o ostern ...
Fachfragen unaufgefordert per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
Warum nennt sich Andreas hier MudGuard?
O o ostern ...
Fachfragen unaufgefordert per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.