Hello,

Ich würde gerne aus einem Formular heraus die Daten in meine Datenbank speichern. Da habe ich eine Frage zur Sicherheit:

Jemand schreibt etwas in die VAriable name, die dann per POST übergeben wird.

Reicht es da nicht aus die VAR über
mysql_real_escape_string($_POST['name'])
in die MYSQL Datenbank zu schreiben:
oder sollte man sie vorher noch mit
stripslashes und strip_tags
weiter behandeln:

mysql_real_escape_string(strip_tags(stripslashes($_POST['name'])))

Nein, es reicht nicht aus, Strings zu escapen, sonden man muss sie auch noch quoten. Aber auf diesen Fehler wird dich ggf. auch die MySQL-SQL-Schnittstelle hinweisen.

Das Quoten von Strings und die Value-Ermittlung bei Zahlen (oder ebenefalls Quoten) sind äußerst wichtig für die Sicherheit der Datenbank.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg