EKKi: htmlentities und mysql_real_escape_string

Beitrag lesen

Mahlzeit,

1.Meine Fragen, muss ich das auch bei Radio und Checkbox durchführen?

Merke: ALL INPUT IS EVIL! Du kannst nicht sicher sein, dass das, was Dein Skript an "Formular"-Daten empfängt, tatsächlich von Deinem Formular abgesendet wurde. Theoretisch kann ich mit einem eigenen Formular, dessen Ziel Dein Skript ist, beliebige Daten an Dein Skript senden - und da kann natürlich in Parametern, die in Deinem Formular Radio- oder Checkboxen waren, auch etwas anderes drinstehen.

2.muss ich bei Textfeldern bzw Textarea

$var2 = mysql_real_escape_string($_POST['var2']);

Ja, wenn Du die Daten in eine Datenbank einfügen willst.

$var2 = htmlentities($var2);

Ja, wenn Du die Daten als HTML ausgeben willst. Behandle Daten IMMER kontextabhängig.

MfG,
EKKi

--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|