Zitat:
Zitat von Silent
wie mache ich das denn am gescheitesten?
|
In dem Du den Inhalt der Variable mit dem vergleichst, was du erwartest. Z.B. wird eine ID für gewöhnlich nur aus Ziffern bestehen. Ein Name nur aus Buchstaben usw.
Erstes kannst du mit den Funktionen
ctype_digit() machen, Namen müstest du von Hand prüfen, da ja auch Umlaute vorkommen könnten.
Sollte ein solcher Vergleich nicht möglich sein, weil wirklich alle Zeichen vorkommen könnten, dann gibt es die Funktion
mysql_real_escape_string(), mit der man SQL-Sonderzeichen maskieren kann.