Hallo zusammen,

Ich habe mich gerade mit oben genannten Thema beschäftigt, als ich mit erschrecken feststellen musste, das mehrere Webanwendung von mir nur unzureichend vor sql injection geschützt sind.
Teilweise werden Benutzereingaben die über $_POST oder $_GET kommen, direkt in die mysql Anweisung geschrieben.

Also habe ich mir folgendes überlegt:

  
foreach ($_POST as $key => $value){  
  $_POST[$key] = htmlspecialchars($value, ENT_QUOTES);  
}  
foreach ($_GET as $key => $value){  
  $_GET[$key] = htmlspecialchars($value, ENT_QUOTES);  
}  

Wird bei jedem Seitenaufruf als erstes aufgerufen.

Gibt es etwas gravierendes an dieser Vorgehenweise auszusetzen?

Gruß, Andi