[php] html > mysql wie richtig slashen/escapen etc.?

[Lutz Zetzsche]

Hi Florian,

F. Kieling @ COVI schrieb:
>> generell sollte man die Texte erstmal so wie sie kommen in der
>> Datenbank speichern und erst bei der Ausgabe anpassen, z.B. mit
>> htmlentities oder nl2br, ansonsten kann es passieren, dass wenn du
>> irgendwann mal dein Handling der Eingaben umstellst, dass dann der
>> eine Text noch mit der Funktion bearbeitet werden muss, der andere gar
>> nicht, sondern so ausgegeben werden muss und dann musst du zwischen
>> den beiden Texten unterscheiden und die entsprechende Funktion
>> anweden, bzw. nicht anwenden und das kommt dann ziemlich doof...
>
> Das ist zwar ein kleiner Aufwand, der sich aber per Script
> automatisieren läßt. Dem steht nämlich gegenüber, daß Du bei den rohen
> Daten/
> ungefilterten Texten die Gefahr einer SQL-Injection hast und Du damit
> auf dein System beträchtliche Sicherheitslücken öffnest. Das dies
> sehr einfach geht, haben immer wieder erfolgreiche Angriffe z.B. auf
> PHPNuke-Seiten gezeigt.

Uli und ich haben ja nicht gesagt, daß die Texte nicht geprüft werden
sollen. Es macht aber aus meiner Sicht i.d.R. definitiv wenig Sinn, für
Umlaute etc. Entitäten in die Datenbank zu schreiben. :-)


Viele Grüße

Lutz