Tach!

Wie auch immer, Linuchs - addslashes ist die falsche Antwort auf diesen Angriff. Die richtige lautet mysqli_real_escape_string, wie schon drölfzigmal geschrieben. Machmal sollte man sich auch an Handbuchempfehlungen halten.

Der Punkt ist nicht, ob man addslashes() oder mysqli_real_escape_string() verwendet. Der Punkt ist, ob man dem Kontext entsprechend korrekt behandelt. Beide Funktionen arbeiten nur dann wirksam, wenn man im Stringkontext ist. Das was mysqli_real_escape_string() zusätzlich zu add_slashes() maskiert ist für SQL-Statements mit ASCII-basierter Zeichenkodierung nicht relevant.

In Linuchs Posting ist ein Felermeldungtext zu sehen mit einem Statement, bei dem das zweite ' in der letzten Zeile nicht maskiert ist, und somit die SQL-Injection wirksam aussieht. Dazu kommt aber die Aussage, dass addslashes() angewendet sei. Nun, dem Anschein nach zumindest nicht für den Fehlermeldungstext. Ob das eigentliche Statement wirksam behandelt wurde, ist dem Posting nicht zu entnehmen.

dedlfix.