Hallo zusammen,

ich suche mich hier langsam tot. Dass dieses Feature mit PHP 5.3 veraltet ist und mit PHP 6 verschwindet, finde ich ständig. Was mir nicht klar ist, ist was der "Ersatz" dafür ist. Anders gefragt: Worauf muss ich jetzt achten, damit keine Sicherheitslücken entstehen?

Verwirrte Grüße
Florian

hi florian,

ich finde das hier ziemlich treffend und kommt aus der php-doku:

Zitat

Data should be escaped where you need it escaped, and for the domain in which it will be used. (mysql_real_escape_string -- NOT addslashes! -- for MySQL (and that's only unless you have a clue and use prepared statements), htmlentities or htmlspecialchars for HTML, etc.) Anything else is doomed to failure.

http://www.php.net/magicquotes

Es kommt also ganz darauf an, an welcher Stelle Du dich in deiner App befindest und was Du dort machst, um zu wissen welcher Ersatz dort angewendet werden müsste. Solltest Du dich mit Deiner Frage nur auf Datenbank Operationen beziehen, wäre es dort jeweils mysql_real_escape_string(), auf Userdaten angewendet.

mfg
chris.w.