Diese Funktion dient ausschliessĺich dazu, um bestimmte Zeichen innerhalb Mysql-Querys unschädlich zu machen und ist kein Wunder-Heilmittel für jeden Zweck.Zitat von Lokutos
Richtig Escapen, bzw. "entschärfen" kannst du HTML-Code über htmlentities und ein gescheites Addslashes (ich zb. habe mir eine Funktion gebaut, wo ich mit Addslashes auch Mehrdimensionale Arrays behandeln kann ($data = pwcAddslashes($_POST)
Dabei solltest du dir auch ein paar Gedanken darüber machen, ob du nur die Referenz der Variable oder wirklich alles Escapen willst.
Dann solltest du bestimmte Felder, wo zb. ein Datum erwartet wird, auch auf solches Prüfen (preg_match zb,. kann sowas sehr schnell und zuverlässig wie ein Auszug aus meiner "check.post.vars"-Klasse zeigt:
PHP-Code:public function check_datum_start()
{
if (empty($this->value))
{
$this->post['error'][] = __ERROR_DATUM_START_FEHLT;
}
elseif (!preg_match('/^(([0-9]{2}+[\.]{1})+([0-9]{2}+[\.]{1})+([0-9]{4}))$/', $this->value))
{
$this->post['error'][] = __ERROR_DATUM_START_FALSCH;
}
}
Zitieren