Einzelnen Beitrag anzeigen
  #1 (permalink)  
Alt 18-12-2006, 14:06
dakingno1
 Registrierter Benutzer
Links : Onlinestatus : dakingno1 ist offline
Registriert seit: Nov 2006
Beiträge: 149
dakingno1 ist zur Zeit noch ein unbeschriebenes Blatt
Standard mysql_real_escape_string()

PHP-Code:
<?php
// Variablen absichern
function quote_smart($value)
{
   
// Ueberfluessige Maskierungen entfernen
   
if (get_magic_quotes_gpc()) {
       
$value stripslashes($value);
   }
   
// In Anfuehrungszeichen setzen, sofern keine Zahl
   // oder ein numerischer String vorliegt
   
if (!is_numeric($value)) {
       
$value "'" mysql_real_escape_string($value) . "'";
   }
   return 
$value;
}

// Erstellen eines sicheren Query
$query sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
           
quote_smart($_POST['username']),
           
quote_smart($_POST['password']));

mysql_query($query);
?>
Aus php.net habe ich den Quelltext für mysql_real_escape_string().

Nun versteh ich noch nicht richtig, warum im query "%S" steht.
Seh ich das richtig, dass das sozusagen Platzhalter für die folgenden POST Variablen sind?

Vielen Dank im voraus, wenn sich jemand bemüht mir die Frage
zubeantworten...
Mit Zitat antworten