danke, für die schnelle antwort, soo viel ;-)
die addslashes und stripslashes hab ich entfernt. dann habe ich die mysql_real_escape_string-methode beim schreiben in die datenbank eingebaut, beim auslesen brauche ich das nicht, oder? Das sieht bei mir jetzt ungefähr so aus:
Code:
mysql_query(sprintf('insert into blog (name,eintrag) VALUES ("%s","%s")',
$daten["name"]),
mysql_real_escape_string(htmlentities($daten["eintrag"])),
Sollte ich das mit dem mysql_real_escape_string bei JEDEM eingetragenen wert machen? Im moment habe ich das nur beim eintrag selber, aber ich trage auch noch namen, datum und zeit ein. (hab beim googeln gesehn, dass es teilweise bei jedem feld gemacht wurde).
das mit dem htmlentities habe ich nicht verstanden, aber man sieht ja oben, wie ich es gemacht habe. ist das so gut?
wie stelle ich das magic_quote ab? habe beim googeln so viel gefunden, aber ich verstehe das nicht so ganz. alles, worum es hier geht ist mit .htacces abgesichert (ist es wichtig das zu wissen?)
Mit dem Link hab ich jetzt gar nicht verstanden :-O. Das ich den Ausdruck nicht auf einen "richtigen" link validiere, das weiß ich, mein problem ist im moment eher, dass ich es sicher bauen will, damit da keiner schabernack treiben kann..
Lesezeichen