Hallo dedlfix,
Man hat eine Situation gefunden hat, in der mysql_real_escape_string() nicht ausreicht.
Ich finde die Beispiele in der MYSQL Doku nicht sehr hilfreich und ich habe auch jetzt keinen Toolstack hier, um zum Probieren ein C Programm zu schreiben (da wäre auch erstmal ein Schutthaufen über dem C-Wissen wegzuschippen...)
Aber der Prosatext sagt, dass diese Funktion dazu da ist, Logfiles besser lesbar zu machen. Und der einzige Weg, auf dem sie das tun könnte, scheint mir darin zu bestehen, dass nur das genannte Quote escaped wird und die übrigen nicht. D.h. diese Funktion schließt keine Sicherheitslücke, sondern entfernt unnötiges Quoting zu Gunsten der Lesbarkeit.
Rolf
--
sumpsi - posui - obstruxi
sumpsi - posui - obstruxi