Hallo Forum,

auf der PHP Buddy Seite zum Thema "Einführung in die Arbeit mit mysqli" wird das Hinzufügen eines Datensatzes zu einer DB gezeigt.

Im verwendeten Skript steht:

// Maskierende Slashes aus POST Array entfernen  
if (get_magic_quotes_gpc()) { $_POST = array_map( 'stripslashes', $_POST ); }

Wofür soll das gut sein? Wenn ich (wie auch in diesem Beispielskript auf der Seite) einen neunen Datensatz mit Prepared Statements, also objektorientiert, übermittle, dann brauche ich mich doch nicht um Magic Quotes oder Ähnliches kümmern.

Meine einzige kontextbezogene "Behandlung" von Usereingaben ist, dass ich bei der Ausgabe - zB. bei einem Gästebuch - die Funktion htmlentities verwende.

Genau das _ist_ doch der Vorteil bei mysqli, wenn ich mit Prepared Statements Datensätze objektorientiert übermittle, dass ich dann _keine_ Angst vor SQL Injektions haben muß bzw. keine Gegenmaßnahmen treffen muß.

Oder sehe ich das falsch?

MfG

Michael