dedlfix: Tabelle sortieren

Beitrag lesen

Tach!

Beim Schreiben in die Datenbank wird also nicht htmlspecialchars angewandt, sondern die für die jeweilige Datenbank passende escape-Funktion (z.B. für mysql mysql_real_escape_string (genaue Schreibweise müßte ich raussuchen).

Kleine Ergänzung: Selbst wenn HTML in die Datenbank geschrieben wird (ob fachlich legitim oder nicht), darf man das Datenbank-Escaping nicht einfach weglassen, denn die kritischen Zeichen sind die Anführungszeichen, und davon behandelt htmlspecialchars() in seiner Grundausführung nur eins (" - es fehlt '). Also, als Sicherheitsmaßnahme gegen SQL-Injection ist htmlspecialchars() nur bedingt tauglich. Wenn das Ziel ist, durch htmlspecialchars() einmal Escaping zu sparen, dann ist das nicht effektiv.

dedlfix.