Hi!
Ich hatte das Beispiel Benutzername. Wenn ich weitere Fehlfunktionen ausschließen will (Prämisse: nur [a-zA-Z]), muß ich die Eingaben sowieso überprüfen. Warum dann noch escapen?
Niemand zwingt dich, die Funktion mysql_real_escape_string() aufzurufen. Tu es oder laß es. Das liegt ganz bei dir.
Würde mich auch nicht zwingen lassen :)
Der Aufruf dieser Funktion ist ja kein Zwang.
Wenn du sicher programmieren willst, dann solltest du nur sicherstellen, daß ein Angriff per SQL-Injection nicht möglich ist.
Wie du das tust, ist deine Sache.
Mir ging es ja nur darum, ob ich irgendwas bei meinem Gedankengang übersehen habe. Da ich aber alle Eingaben stets überprüfe, scheint der Einsatz von mysql_real_escape_string() wirklich nur bei Textarea sinnvoll zu sein, wenn ich auch Zeichen wie " und ' zulassen will.
Ich will der Funktion nicht die Existenzberechtigung absprechen. Klar, wenn ich nur ein einfaches Gästebuch erstellen will, wo der Name des Eintragenden keiner aufwendigen Prüfung unterzogen wird, würde ich escapen.
Gruß
Karsten