Hallo!

Ich bin gerade dabei die Kommunikation zwischen PHP und MySQL halbwegs sicher zu gestalten. Habe auch schon div. Tutorials durchgelesen und denke, dass das jetzt auch ganz gut funktioniert. Ganz sicher bin ich mir aber nicht. Vielleicht könnt ihr mir ja bestätigen, dass ich soweit alles richtig verstanden habe.

Also. Wenn ich aus einem Formular INSERT- oder UPDATE-Statements ausführe oder Kriterien in der WHERE Klausel übergebe verwende ich mysql_real_escape_string() um bestimmte Zeichen zu Maskieren.
z.B. wird aus Das O'Reilly Buch "BlaBla" liegt auf c:\ in der Datenbank Das O'Reilly Buch "BlaBla" liegt auf c:\

Wenn ich etwas aus der Datenbank anzeigen will verwende ich hingegen stripslashes() damit wieder alles korrekt angezeigt wird.

Ich glaube soweit ist das OK, oder?

Laut phpinfo() und get_magic_quotes_gpc()ist auf dem Webserver magic_quotes_gpc aktiviert. Alle anderen magic_quotes Einstellungen sind deaktiviert.
In div. Tutorials kann man nun lesen, dass wenn magic_quotes_gpc aktiviert ist, vor der Verwendung von mysql_real_escape_string(), stripslashes() anzuwenden ist. Angeblich werden die Daten sonst doppelt maskiert.
Nur bei mir kann ich da keinen Unterschied feststellen. Ob ich nun vorher stripslashes() anwende oder nicht. Bei mir sieht das Ergebnis immer gleich aus.
Spielen da event. noch andere Einstellungen mit, kann ich das stripslashes() weglassen oder verstehe ich etwas falsch?

Danke!
Karlo