Diskussion zu MOD: Edit-Reason

killerbees19 · Beitrag von **killerbees19** » 16.01.2007 10:50

Es geht um folgenden MOD: http://www.phpbb.de/viewtopic.php?t=138933

Diese Stelle macht mir Sorgen:

$edit_text = addslashes(substr(trim($_POST['edit_text']), 0, 250));

Code: Alles auswählen

$editsql = "UPDATE ". edit_text_table ." SET text='".$edit_text."', user='".$userdata['username']."' WHERE postid='".$post_id."'";

addslashes() allgemein zu verwenden ist nicht besonders klug, denn wenn jemand magic_quotes aktiviert hat führt das zu Problemen.

$_POST gibt es auch erst seit PHP 4.1, was ich schnell beheben könnte.

Mein Hauptproblem ist aber die Validierung des Textfeldes.
Wie löse ich das am Besten und vorallem so, dass es wirklich sicher ist?

Ich danke euch schon im Voraus für eure Tipps.

MfG Christian

killerbees19 · Beitrag von **killerbees19** » 19.01.2007 15:58

Mir ist gerade erst jetzt aufgefallen, dass phpBB in der commom.php magic_quotes deaktiviert, damit es zu keinen Problemen kommt. Hat vielleicht trotzdem noch jemand Anregungen für mich, bevor ich die neue Version veröffentliche, die die $_POST -> $HTTP_POST_VARS Fehlerbehebeung enthält?

MfG Christian