passwortschutz mit sessions und mysql db - sicherheitslöcher?

also - magic_quotes_gpc On ist OK

nun hab ich versucht das ganze durch stripslashes und dann durch mysql_real_escape_string zu jagen.
ich gebe [COLOR=blue]' [/COLOR] ein und erhalte folgendes:

ausgabe vor stripslashes:
[COLOR=blue] backslash' [/COLOR]
ausgabe nach stripslashes:
[COLOR=blue] ' [/COLOR]
ausgabe vor mysql_real_escape_string:
[COLOR=blue] backslash' [/COLOR]


ist das normal/gut so, dass ich nach stripslashes wieder nur noch [COLOR=blue]' [/COLOR] erhalte?

ziel wäre es ja backslashes zu erhalten vor den ' oder? dann lass ich stripslashes einfach weg?

ich würde magic_quotes_gpc=off auf jeden Fall setzen.

Die User-Daten gehen ja in verschiedene Richtungen: SQL, HTML-Ausgabe, evtl. als URL. Man muss sie am Punkt der Verwendung gegen injects schützen, aber im php als originaler Text, ohne zusätzliche \\ vor gewissen (welche?) Zeichen haben.
als SQL Daten: mysql_real_escape
als HTML Daten: htmlspecialchars
als URL Bestandteil: urlencode
als Javascript String: addslashes
als SQL Zahlen für OFFSET und LIMIT: intval(..)
als Email Daten: vielfältiger als alles hier angegebene.

Zusätzlich kann man anfangen auf injection zu prüfen, um Angriffe zu erkennen und zu loggen.

Erg$nzung: wenn man Daten zB mit mysql_real_escape ins SQL einspeist, muss man sie beim Query nicht ent-escapen. Dasselbe gilt für die anderen Escapierungen. Diese werden von php bzw. mysql rückgängig gemacht. Nur email Codierungen sind anders.

ergänzen kann man noch
als PHP Literals: je nachdem ob in '...' oder "...." (von Hand).

Öhm, du sollst ja mysql_escape_string und nicht mysql_real _escape_string benutzen Ansonsten ist das aber prinzipiell OK

Da ist das Manual aber genau gegenteiliger Meinung:

je gemäss handbuch mysql_real_escape_string - werd ich auch verwenden, danke!