Hallo,

bisher war ich der Meinung, dass ich meine PHP Skripte durch das Setzen von magic_quotes_gpc=ON vor Fremdcodeeinschleusung bei SQL Statements hinreichend geschützt hätte. Denn einfache und doppelte Anführungszeichen und Backslash wurden ja stets escaped.

Jetzt habe ich aber im Netz gelesen, dass man stets die PHP Funktion mysql_real_escape_string nutzen sollte, um das SQL Statement abzusichern.

Leider könnte ich nirgends einen wirklich sicherheitsrelevanten Grund dafür nachlesen.

Reicht also weiterhin magic_quotes_gpc=ON aus?

Oder sollte ich alle Skripte jetzt mit mysql_real_escape_string() absichern?

Danke im Voraus für eure Hilfe!

Beste Grüße
Michael