Mailinglisten-Archive |
Hallo Uli, > generell sollte man die Texte erstmal so wie sie kommen in der > Datenbank speichern und erst bei der Ausgabe anpassen, z.B. mit > htmlentities oder nl2br, ansonsten kann es passieren, dass wenn du > irgendwann mal dein Handling der Eingaben umstellst, dass dann der > eine Text noch mit der Funktion bearbeitet werden muss, der andere gar > nicht, sondern so ausgegeben werden muss und dann musst du zwischen > den beiden Texten unterscheiden und die entsprechende Funktion > anweden, bzw. nicht anwenden und das kommt dann ziemlich doof... Das ist zwar ein kleiner Aufwand, der sich aber per Script automatisieren läßt. Dem steht nämlich gegenüber, daß Du bei den rohen Daten/ ungefilterten Texten die Gefahr einer SQL-Injection hast und Du damit auf dein System beträchtliche Sicherheitslücken öffnest. Das dies sehr einfach geht, haben immer wieder erfolgreiche Angriffe z.B. auf PHPNuke-Seiten gezeigt. Dabei wurden dann nicht nur einfache INSERTS ausgeführt sondern auch gleich Administrator-Konten engelegt! Gruß Florian -- common visions media.agentur knieperstrasse 1 18439 stralsund phone 0049 [0] 38 31 . 30 31 57 fax 0049 [0] 38 31 . 30 31 58 mobil 0049 [0] 170 . 83 32 281 f.kieling at covi.de http://www.covi.de
php::bar PHP Wiki - Listenarchive