Moin

Im Grunde ist es ja wichtig, dass die \ geqoutet werden, für das Erstellen des SQL-Statements. Angenommen die Eingabe würde lauten: "C:\Programme\new" dann würde es ja dazu führen, dass ein Newline im String interpretiert wird:

Jetzt prügelt mich, wenn ich falsch liege. Es muss doch bei der Speicherung in die Datenbank nur gegen MySQL-Injection etwas getan werden. Mit mysql_real_escape_string() bzw. mysqli_real_escape_string() und dem Setzen des Wertes in einfache Hochkommas ist doch beim Speichern genug getan. Alles weitere ist doch erst bei der Ausgabe zu prüfen (um XSS zu vermeiden)

Und magic.quotes quotet automatisch alle Ausgaben. Sodas man stripslashes() bemühen muss um die Ausgabe richtig zu gestalten. Außerdem sind Funktionen wie striptags(), htmlentities() oder auch htmlspecialchars() für die korrekte Ausgabe vorgesehen.

Oder sehe ich das falsch?

Gruß Bobby