Einzelnen Beitrag anzeigen

Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#34

Re: serial von mysql db abfragen

  Alt 11. Jun 2008, 21:42
Zitat von blackdrake:
Ja, Magic Quotes... hat sich im Nachhinein als Flopp herausgestellt, weswegen es auch in PHP 6 abgeschafft wird und von vielen Hostern nicht angewandt wird.
Das war auf jeden Fall ein Flopp. Und ich denke das wird auch richtig viel Stress geben, sobald die ersten Hoster auf PHP6 umstellen. Ok, das dauert noch seine Zeit, aber dennoch. Sehr sehr viele User kennen SQL-Injections nicht. Und auch mein letztes großes Projekt habe ich (dummerweise) auf magic_quotes aufbauen lassen. Die v2 des Projekts ohne magic_quotes ist aber in Arbeit...

Zitat von blackdrake:
Wenn die Serial aber gar keine Quotes enthält, weil es nur Alphanumerisch ist, braucht man sich um MagicQuotes keine Gedanken machen.
Ich habe den Thread nicht ganz gelesen, aber sofern der Code von dir hier stimmt, dann muss man sich da sehr wohl Gedanken machen: $serial = $_GET['serial']; Das ist doch ganz klar eine Eingabe des Users, das heißt sie muss auf jeden Fall escaped werden. Aber generell gilt ja: Lieber zu viel als zu wenig.

Mit freundlichen Grüßen,

Valle
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat