htmlspecialchars und mysqli_real_escape_string

Als Anfänger du ich mich noch mit dem sicheren Code schreiben sehr schwer.

Habe ein selbstreferenzierendes Formular. Nach dem Senden validiere ich einige Felder auf richtige Eingabe. Jetzt habe ich Probleme damit wann ich "htmlspecialchars" verwende und sollte ich auch "trim" verwenden?

PHP-Code:

// Wenn das Formular abgesendet wurde
if (isset($_POST['submit_partnerseiten'])) {
    $partner = $_POST['partner'];
    $url = trim($_POST['url'], " \/\t\n\r\0\x0B");
    $themenbereiche = trim(htmlspecialchars($_POST['themenbereiche']));
    $themenbereiche_sparten = trim(htmlspecialchars($_POST['themenbereiche_sparten']));
    $bemerkung_partnerurl = trim(htmlspecialchars($_POST['bemerkung_partnerurl']));

    if (empty($partner)){ $error_partner = 'Partner muss ausgewählt werden.'; $error = false;}
    if (empty($url)){ $error_url = 'Bitte geben Sie eine Domain ein.'; $error = false;
    }
    else { 
        // Sicherstellen das nur eine richtige Domain eingegeben wurde keine URL !
        if (preg_match("!^(http|https)+(://)+(www\.)?([a-z0-9\.-]{3,})\.[a-z]{2,4}(/)?$!i",$url)) { 
            } else { $error_url = 'Domain im Format http://www.example.com eingeben.'; $error = false; }
    }
    
    if (!isset($error)) {
        // Prüfen der Domain auf doppelten Eintrag bei diesem Parnter
        $sql = "SELECT partnerID, url FROM partner_seiten WHERE partnerID = '$partner' AND url LIKE '$url'";
        $result = mysqli_query($db, $sql) or die ('Fehler bei der Datenbankabfrage.');
        if (mysqli_num_rows($result)>0)
            {
                $error_url = 'Domain bei diesem Partner schon vorhanden.'; $error = false;
            } 
            else { // Domain und PartnerID in die Datenbank eintragen
                $sql = sprintf("INSERT INTO partner_seiten (partnerID, url, themenbereiche, themenbereiche_sparten, bemerkung) VALUES ('%d', '%s', '%s', '%s', '%s')",
                    mysqli_real_escape_string($db, $partner),
                    mysqli_real_escape_string($db, $url),
                    mysqli_real_escape_string($db, $themenbereiche),
                    mysqli_real_escape_string($db, $themenbereiche_sparten),
                    mysqli_real_escape_string($db, $bemerkung_partnerurl)); 
                $ergebnis_partnerurl = mysqli_query ($db, $sql) or die ('Fehler bei der Datenbankabfrage - Partnerurl einfügen.');
            }
    }
} 


Speichere nach Senden die $_POST - Variablen in einer Variable die ich mit trim und htmlspecialchars bearbeite. Diese bearbeitete Variable wird später noch mit mysqli_real_escape_string bearbeitet und in die Datenbank geschrieben. Ist diese Vorgehensweise gut ???
In der Datenbank befindet sich ja dann die codierten html Zeichen? Oder macht das nichts?
Vielleicht könnt Ihr auch noch über meinen Code schauen ob ich da noch Fehler habe oder sich etwas verbessern lässt?

Danke

Hallo,

du sicherst Zeichenketten immer nur dafür ab, was als nächstes mit ihnen passiert. Für die Ausgabe nimmst du htmlspecialchars, für das Speichern in einer Datenbank Prepared Statements oder die entsprechende Escaping-Funktion, z. B. mysql_real_escape_string().

Strings einfach nur zum Spaß mit beidem zu behandeln ist Unsinn, da zum einen HTML-Entity-Referenzen nichts in der DB verloren haben und zum anderen der Backslash in HTML nichts maskiert, sondern lediglich stört.

Gruß,

Amica

Komplett durcharbeiten, auch die zweite Seite: Artikel:Kontextwechsel – SELFHTML

Danach sollten eigentlich keine Fragen mehr offen sein.