Ich hab jetzt beschlossen meine Script unabhängig von magic_quotes_gpc zu machen und folgendes zamgebastelt:
PHP-Code:
function addslashes_array($input){
if(is_array($input)){
$second_array = array();
foreach($input as $key=>$data){
$second_array[$key]=addslashes_array($data);
}
return $second_array;
}
else{
return mysql_real_escape_string($input);
}
}
PHP-Code:
$known_globals = array("_ENV", "HTTP_ENV_VARS",
"_GET", "HTTP_GET_VARS",
"_POST", "HTTP_POST_VARS",
"_COOKIE", "HTTP_COOKIE_VARS",
"_FILES", "HTTP_POST_FILES",
"_SERVER", "HTTP_SERVER_VARS",
"_SESSION", "HTTP_SESSION_VARS",
"_REQUEST");
foreach($known_globals as $global){
$GLOBALS[$global] = addslashes_array($GLOBALS[$global]);
}
Reicht das nun damit ich sonst bei Numerischen Werten nur mehr den (int) Cast-Operator einsetzen muss um halbwegs sicher zu sein?
% %00 -- /* */ usw werden ja alle nicht escaped von mysql_real_escape_string()
20.09.2008, 23:55
Daten für DB escapen
Baum-Darstellung