Mailinglisten-Archive |
Hallo, wie ist das nochmal mit den Sonderzeichen bei der Übernahme von Daten aus Formularen in eine Mysql-DB und der anschliessenden Ausgabe in HTML ? Es soll einerseits die Eingabe ohne Veraenderungen in die DB eingetragen werden, andererseits soll bei einer evtl. notwendigen Anzeige sauberes HTML rauskommen .... Ich habe mir folgende Merkhilfen notiert, die bei meinen bisherigen Tests funktioniert haben - ist das so korrekt, oder hab ich was uebersehen? 1) Daten aus Formularfeld in DB und zurueck: Insert: insert into .... addslashes(urldecode($eingabe)) (wenn magic-gpc off) insert into .... urldecode($eingabe) (wenn magic-gpc on) HTML-Output: echo htmlentities(stripslashes($daten)) oder bei multiline-Feldern: echo nl2br(htmlentities(stripslashes($daten))) 2) Eingabe in Formularfeld als SQL-Abfrage durchreichen: $querystring = stripslashes(urldecode($eingabe)) Gibt es eigentlich eine Empfehlung, was grundsaetzlich "besser" in der php.ini ist - magic-quotes-gpc on oder off? Mit freundlichen Gruessen, Ulrich Babiak -- Ulrich Babiak ubabiak_(at)_netcologne.de Netcologne GmbH http://www.netcologne.de 0221/2222-236
php::bar PHP Wiki - Listenarchive