Hallo Sven,

So ein pauschales Escaping ist viel sicherer, als wenn man sich erst im Detail überlegen muss, ob die Funktionsergebnisse von z.B. md5() in absolut jeder Situation wirklich garantiert SQL-ungefährliche Strings zurückliefern.

Davon abgesehen, dass md5() als 'geknackt' und somit als unsicher anzusehen ist

Stell dir einfach mal vor, im weiteren Leben der Software wird irgendwann die Funktion md5() ersetzt durch eine ganz ähnliche, aber eigene Funktion, die das Passwort verschlüsselt, z.B. hash_mich().

oder die empfohlene AES-Methode.

Hier pauschal aus falsch verstandener Effektivitätsüberlegung auf Escaping zu verzichten wird POTENTIELL IRGENDWANN zu Problemen führen.

Im Prinzip vollkommen richtig, verwende ich allerdings mit Sicherheit auf eine Integer-Spalte vorher auf den Typ 'Integer' geprüfte Werte (z.B. Rechteverteilung im CMS) kann ich reinen Gewissens auf mysql_real_escape_string() verzichten.

Ganz so falsch ist der Performance-Gedanke ja nicht.

Als sicherheitsinteressierter Entwickler wähle ich immer die Methode, die mir NIEMALS Probleme machen wird.

ACK, aber das muss nicht immer mysql_real_escape_string() sein.

Grüße, Matze