erst escape, dann encode - oder umgekehrte Reihenfolge

**deedee** · 17-06-2009, 09:40

Man sollte grundsätzlich das komplette Projekt auf utf-8 umstellen (Header, DB-Tabellen, Formular, ...). Dann stellt sich diese Frage nicht mehr, weil man ein utf8_encode() dann nicht mehr benötigt.

Statt mysql_escape_string() solltest du übrigens mysql_real_escape_string() verwenden.

**pascal007** · 19-06-2009, 12:49

Und zusätzlich zum mysql_real_escape_string() würde ich noch strip_tags() empfehlen.

**wahsaga** · 19-06-2009, 13:01

Originally posted by pascal007 View Post

Und zusätzlich zum mysql_real_escape_string() würde ich noch strip_tags() empfehlen.

Das würde ich nicht tun - im Gegenteil, eher dringend davon abraten.

**unset** · 19-06-2009, 13:11

Originally posted by wahsaga View Post

Das würde ich nicht tun - im Gegenteil, eher dringend davon abraten.

Warum?

**combie** · 19-06-2009, 13:15

Weil dann alle vom FCKEditor(nur ein Beispiel) gelieferten Daten kaputt gehen

**unset** · 19-06-2009, 13:16

Originally posted by combie View Post

Weil dann alle vom FCKEditor(nur ein Beispiel) gelieferten Daten kaputt gehen

Was heißt "kaputt gehen"?

**h3ll** · 19-06-2009, 13:20

Originally posted by unset View Post

Was heißt "kaputt gehen"?

Der FCKEditor gibt HTML-Code zurück. Mit strip_tags() entfernt man diesen und die komplette Formatierung geht verloren.

**combie** · 19-06-2009, 13:21

Nagut, dann anders rum....

strip_tags() ist eine Datenmanipulierungs Funktion!
Will man immer alle eingegebenen Daten manpulieren? Wohl nein.

Es ist meist klüger die Daten zu validieren und in Abhängigkeit davon ganz und komplett zuzulassen oder abzuweisen.

**unset** · 19-06-2009, 13:21

Oh man, ich Depp. Ich hab die Erwähnung von strip_tags() überlesen und dachte, ihr bezieht euch auf mysql_real_escape …*bin wohl noch vom Mittagessen im Fresskoma ;-)

erst escape, dann encode - oder umgekehrte Reihenfolge