nicht angemeldet
Hallo Vinzenz,
danke für deine Antwort.
Unsinn. Es handelt sich hier um stinknormale Daten, die kontextgemäß aufbereitet werden. Ob das die entsprechenden Maskierfunktionen passend zum DBMS sind, oder ob man prepared Statements verwendet, das ist gleichgültig. Ordentlich behandelt, kann nichts passieren. Dem DBMS ist es völlig egal. XML-Daten sind keine andere Daten als sonstige Benutzereingaben. Sie müssen ganz genauso behandelt werden.
"Normal" würde ich einfach mittels mysql_real_escape_string() die Eingabe des Benutzers entschärfen und ggf. vorher mit is_numeric() etc. prüfen.
Mit XML kommt es leider nicht in Frage, da aus:
<smp>
<foo var="bar">Blub</foo>
</smp>
Das werden würde:
<smp>
<foo var="bar">Blub</foo>
</smp>
Ordentlich behandelt, kann nichts passieren
Schön zu wissen. Aber wie würdest du denn mit diesem Beispiel oben umgehen, wenn du es in der Datenbank abzulegen hättest?
Grüße