Welche Nutzer-Eingaben vorm DB-Eintrag "entschärfen&quo

    Hallo zusammen!

    Ich bastel gerade eine Benutzerverwaltung für meine Seite und hänge zZt an der Registrierung. Vor dem Datenbank-Eintrag lasse ich die Funktionen htmlspecialchars und trim über die Eingabe laufen. Sollte man dies auch bei dem Passwort machen? Eigentlich wird dies ja nirgens angezeigt und zudem durch die Funktionen verändert (heisst es ist nicht mehr das Passwort, dass der Benutzer gewählt hat).

    Ich hoffe ihr versteht was ich meine :)
    Was denkt ihr?

    htmlspecialchars und trim reicht nicht, mysql_real_escape_string solltest du auch noch benutzen. Beim Passwort kannst du dir das schenken, wenn du dieses als md5-Hash in die DB schreibst.

    Ah, stimmt.. wg SQL-Injections (darüber hatte ich etwas gelesen).
    Kann ich das dann so zusammen packen?
    $user_name = mysql_real_escape_string(htmlspecialchars(trim($user_name)));

    Solche Fragen kann man mit "Probiere es aus" beantworten. :( Ja, das geht.

    htmlspecialchars und trim hatte ich so getestet. Ich weiss nur nicht 100%ig was mysql_real_escape_string macht, daher ist das mit dem Testen etwas schwer :)

    Ich verstehe nicht ganz, ob er beispielsweise ein OR löscht oder ein FLASE zurück liefert und das INSERT INTO garnicht erst ausführt.

    Zitat von martinfre

    Ich weiss nur nicht 100%ig was mysql_real_escape_string macht


    Und da kann man nicht mal in der Doku nachsehen und google bemühen?