Jetzt kommt aber der Spass....falls magic_quotes_gpc an ist, darf man nicht ohne weiteres mysql_real_escape_string drueberlaufen lassen. Nehmen wir an ein User gibt das ein:
dann kommt in $_GET folgendes an:
Falls ich dann nochmal mysql_real_escape_string() drueberlaufen lass, dann hab ich
Code:
\\\');DROP DATABASE bar;--
oder
Code:
\\');DROP DATABASE bar;--
Und wie mans dreht und wendet, das sind auf alle Faelle zuviele \
Deshalb: auf alle Faelle erstmal stripslashes() drueberlaufen lassen, wenn magic_quotes_gpc an ist (don't you just love it?)
Greetz
alcaeus