PHP: Unterschied zwischen htmlspecialchars und mysql_real_escape_string

Wenn du eine Zeichenkette wie "<p>ABC</p>" ausgeben möchtest, wird das "<p>" und "</p>" normalerweise nicht sichtbar, da diese Zeichen als HTML interpretiert werden. Wenn du solch einen String trotzdem ausgeben möchtest, kannst du dafür htmlspecialchars verwenden. Die Funktion sorgt dafür, dass alle Sonderzeichen wie &, ", ', < und > in HTML Code umgewandelt wird, also &amp; &quot; &#039; &lt; und &gt;. Du solltest htmlspecialchars also für die Ausgabe von entsprechenden Strings nutzen.

Wenn du auf deiner Website Nutzern erlaubst, etwas einzugeben und du anschließend daraus eine MySQL Abfrage generierst, ist es möglich, dass der Nutzer eigene Anweisungen einbaut (SQL-Injection). Dies verhindert die Funktion mysql_real_escape_string, indem sie Zeichen wie \x00, \n, \r, \, ', " und \x1a mit einem Backslash \ versieht. Du solltest mysql_real_escape_string immer verwenden, bevor du möglicherweise unsicheren Daten an MySQL schickst.
09.06.2014 um 20:46