Sicherheit und Funkion bei Variablen

[Dennis63]

Hi

Ich bin irgendwie am grübeln...

Ich gebe in einem Editfeld und in einer Textarea Text ein. Dieser Text soll dann in einer Datenbank gespeichert werden.

(1) - Text wird eingegeben und per POST an das Script gesendet
(2) - Text wird mit trim(stripslashes(...)) bearbeitet um in wieder "gerade zu drehen) - Das soll auch so bleiben...

Nun habe ich in der Variable genau das, was ich eingegeben habe.
(3) Der Text wird so wie er ist die DB geschrieben

Aber wie sieht das mit (3) und der Sicherheit aus? Ich meine, ich muss den String doch noch so "bearbeiten", daß man die "SQL-Injection" (oder was auch immer es da gibt) nicht mehr möglich ist???
Was mache ich dafür genau?

Grüße
Dennis

[Pyramide]

entweder mit [php:addslashes] oder [php:mysql_escape_string]

[Dennis63]

Ok DANKE!

htmlspecialchars() ist dann also nicht sicher?

Dann werde ich alles was in die MySQL-DB geht mit "mysql_escape_string" bearbeiten. Danke. Wo wir gerade dabei sind. Hab noch nen kleines mini-Problem mit SMTP...

fputs($socket, "MAIL FROM: <test@test.de>\r\n"); <--- Das geht.
fputs($socket, "MAIL FROM: Der Tester <test@test.de>\r\n"); <--- Das geht nicht. Warum? Wie gebe ich bei SMTP nen Namen?

Grüße
Dennis

[Pyramide]

htmlspecialchars() ist dann also nicht sicher?

htmlspecialchars verwendest du, wenn du die Daten aus der Datenbank im Browser ausgibst.

fputs($socket, "MAIL FROM: <test@test.de>\r\n"); <--- Das geht.
fputs($socket, "MAIL FROM: Der Tester <test@test.de>\r\n"); <--- Das geht nicht. Warum? Wie gebe ich bei SMTP nen Namen?

Der Name kann nur im "From" header (Mail header, nicht SMTP Header) angegeben werden.
http://www.ietf.org/rfc/rfc0821.txt

PS: Mach für so unterschiedliche Themen nächstes mal besser ein neues Thema auf.