Hi!

So sollte es besser sein oder?
$md5 = mysql_real_escape_string(trim($_GET['id']));

Etwas, ja. Noch besser wird es, wenn du die Behandlung erst beim Einbau in den anderen Kontext vornimmst. Das passiert dann gegebenenfalls mehrfach, wenn der Wert an mehreren Stellen eingefügt werden soll. Aber Sicherheit geht vor (minimalen) Performanceverlust und so hast du in $md5 (in diesem Fall) immer die Rohdaten zur Verfügung, die man ja für andere Fälle/Kontexte benötigen könnte. Zudem sieht man durch das Behandeln am Zielort gleich, dass das nicht vergessen wurde und muss sich nicht durch den Code rückwärts bewegen, um sicherzustellen, dass das unter allen Umständen bereits erfolgt ist. Die Behandlung sollte/muss auch für aus dem DBMS kommende Werte erfolgen, die in weitere Querys eingebaut werden. Besonders bei Daten aus String-Feldern können ebenfalls Zeichen mit besonderer Bedeutung enthalten sein. Auch eine indirekte SQL-Injection bleibt eine.

Lo!