Ist mal wieder gaaaaaaanz toll :-PCode:function db_query($query){ $args=func_get_args(); $vargs=array(); for($i=1;$i<func_num_args();$i++) { if(get_magic_quotes_gpc()) { $args[$i]=stripslashes($args[$i]); } $vargs[]=mysql_real_escape_string($args[$i]); } $query=vsprintf($query,$vargs); $res=mysql_query($query); return($res); } db_query('SELECT * FROM %s WHERE `%s`=%d','user','klammid',93995);
Da baut jemand etwas eigenes, was nach "toll" und "sicher" aussieht, benutzt aber noch ein "$args[$i]=stripslashes($args[$i]);" um es dann ungeprüft in der DB abzufragen....da bleibe ich doch besser bei meinem "unsicheren" addslashes
Zitieren