Hallo Andreas,

habe mich in die Materie mal reingelesen. "magic_quotes" wurden zum Schutz von Datenbanken (SQL-Injection) eingeführt, werden aber mit PHP 6.0 wieder abgeschafft. Fand im Netz eine Routine, die nach function_exists('get_magic_quotes_gpc') das gesammte POST-Array mit array_stripslashes() nachbearbeitet und abschließend mit if(function_exists('set_magic_quotes_runtime')) set_magic_quotes_runtime(FALSE); die magic_quotes abschaltet. Das ist einerseits PHP6-fest und andererseits wird nicht zwingend ein Zugriff auf php.ini erforderlich. Das sieht für mich soweit gut aus.

Bleibt die Frage nach dem Schutz der DB. Ich schreibe derzeit die Daten mit PDO und Prepared-Statements bzw. bindParam() in eine MySQL-DB und hoffe damit auf dem richtigen Weg zu sein. Gibt es da noch etwas zu beachten?

Danke für die Info

Rolf