Hallo allerseits,

überprüfe gerade ein älteres Projekt, in das Nutzer in Formulare Daten eingeben können. Diese können sie sich in einer Vorschau nochmal ansehen und editieren, bevor sie in einer Datenbank gespeichert werden.

Für die Speicherung in der Datenbank und die Ausgabe in der Vorschau existiert eine Funktion, die alle möglichen Fälle berücksichtigt und absichert.

Für die Übergabe der Daten über Formulare von einer Datei in die nächste wird neben magic_quotes/stripslashes jedoch nur htmspecialchars genutzt, damit der Nutzer seine Eingabe möglichst unverfälscht wieder sehen und bearbeiten kann.

Nun war ich mir unsicher, ob es besser wäre, dieses jeweils mit ENT_QUOTES zu ergänzen, oder ob einfache Anführungszeichen kein großartiges Problem für Angriffe sind.

Inzwischen frage ich mich jedoch, ob diese Übergabe der Daten durch noch mehr Befehle als nur die oben genannten abgesichert werden sollte.

Könnt ihr mir mit euren Erfahrungen helfen? Vielen Dank schonmal für etwaige Hinweise!

Erik