SQL-Befehle in Textarea verbieten

Öhm... für was?

Find eich nur wichtig wenn es sich dabei um ein Forum, Gästebuch oder ein Blog handelt aber für ein Impressum?
 
Ein Wysiwyg Editor würde schon alles filtern (PHP, Javascript, SQL), aber trotzdem sind Formatierungen möglich.
Mit TinyMCE sind sogar Tabellen und CSS Vorlagen möglich.
 
Solang du nicht mit eval() arbeitest, wird der PHP Code doch generell nicht ausgeführt. Du schreibst den Code ja nur per Echo hin oder etwa nicht?

Ansonsten beim Eintragen den Code der in die Datenbank über alles was durch die Formulare kommt ein mysql_real_escape_string() machen. Damit sollte eine SQL injection eignetlich nicht möglich sein.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück