Ich grüsse den Cosmos,
if (preg_match("/^\w+$/", $_POST['input']) sql_query("... = " . $_POST['input']); ???
Und das findest du einfacher, als mysql_real_escapestring()?
»»
Nicht unbedingt einfacher, aber da ich die Eingaben bei komplexen Datenbanken eh immer prüfen muß, stellte sich mir die Frage, ob zusätzliches Escapen überhaupt einen Nutzen hat.
Ist doch egal, ob von meinem Formular oder sonstwo her, die Abfrage wird durchlaufen.
Ja, konnte man auch riechen, denn geschrieben hast du das nicht. Sind nicht viele Hellseher hier.
Ja, das hatte ich geschrieben:
Wenn ich alle Nutzereingaben stets kontrolliere, daß nur das enthalten ist, was ich auch als zulässige Eingabe erwarte, und ferner weiß, daß diese Zeichen (\x00, \n, \r, , ', " und \x1a) nicht enthalten sind, ist doch der Gebrauch von mysql_real_escape_string() an sich überflüssig, oder?