Christian Kruse: Umkreissuche

Beitrag lesen

Hallo dedlfix,

warum benutzt Du addslashes anstelle der korrekten db-abhängigen escape-Methode (mysql_real_escape bzw. deren Nachfolger für mysqli ...)?

Ganz so schlimm ist es auch wieder nicht, solange es richtig angewendet wird. mysql(i)_real_escape_string() behandelt die für das Statement wichtigen Zeichen in derselben Weise wie addslashes(). Es maskiert lediglich noch ein paar weitere Zeichen, die erst später in Logfiles, aber nicht mehr für die Query eine Rolle spielen.

Das ist im Moment zwar richtig, kann sich aber jederzeit ändern. Deshalb ist es wichtig, die richtige Methode zum escapen zu verwenden; die ist die einzige, die garantiert, dass es auch richtig escaped wird.

LG,
CK