Hallo,
bin gerade an einem Punkt, wo ein bereits registrierter User seine Daten (Passwort, Email usw.) ändern kann. Dort schreibe ich in die DB schon mit "mysql_real_escape_string".
Skriptausschnitt:
...
$passwort = "' OR '%><";
$aendern = mysql_query ("update test set passwort = '" . mysql_real_escape_string($passwort) . "' where nick ='Thorsten'");
...
In der DB steht: ' OR '%><
Ist das richtig so? Da soll doch etwas maskiert werden?
Gruss
Thorsten