Citat:
Ursprungligen postat av Clarence
Det är en funktion du kan använda för input/data som ska visas i t ex HTML. För input till (my)SQL bör du INTE använda den. Har du inte med ENT_QUOTES så escapar den t ex inte single quotes, vilket är den absolut vanligaste ingångsvägen till SQL injections. Och även om du sätter ENT_QUOTES så är den inte att anses som säker pga andra ingångsvägar.
Ett säkert kort är att använda databasmotorns egna escapes, t ex mysql_real_escape_string()/pg_escape_string(). Ett annat att använda prepared statements (se t ex mysqli_prepare).
|
själv kör jag mysql_real_escape_string() vid alla input till databas.
men dem andra har jag inte stött på tidigare, får väll läsa mer om det då
tackar!