Habe ich eigentlich in #9 geschrieben. Ich sehe in #6 keine Behandlung von Kontextwechseln.
Zitat:
|
sorry ich sehe jetzt das problem nicht? ich habe doch den kontext beachtet. ich habe halt nur nicht mit \ escaped. ich verfahre eher so statt mit \ zu escapen unterbreche ich den string und führe ihn nach der variablen fort.
|
Für HTML bringt Backslash-Escaping auch nichts. Das existiert in HTML nicht.
Zitat:
|
das dein erstes beispiel in deinem letzten post syntaktisch falsch ist weil natürlich bei anführungszeichen der string als beendet gilt, wenn nicht excaped oder irgendwie unterbrochen und verknüpft wurde, aber das habe ich doch auch nirgends so gemacht? wenn doch, dann ist das ein tippfehler.
|
Das sollte lediglich ein Beispiel sein, was ein Kontextwechsel ist und warum es wichtig ist, Kontextwechsel passend zu behandeln.
Zitat:
|
usereingaben, die in die datenbank gehen filter ich mit htmlspecialchar und mysql_real_escape_string.
|
Das ist grundsätzlich schon mal gut, weil dir bewusst zu sein scheint, dass du Daten escapen musst, wenn du sie in HTML einsetzt. Das war in #6 nicht zu erkennen.
Andererseits setzt du htmlspecialchars an der falschen Stelle ein. In der Datenbank sollten die Originaldaten landen und nicht Daten, die für die Ausgabe in HTML-Code aufbereitet sind. Ansonsten müsstest du zum Beispiel das HTML-Escaping rückgängig machen, wenn du die Daten in einem Nicht-HTML-Kontext nutzen willst.
Zitat:
|
dann muss ich lediglich entweder mit \ escapen oder string unterbrechen, dann vari, und dann string fortsetzen. wie mans macht is ja egal, kann man sich aussuchen und ich arbeite halt mit string unterbrechungen.
|
Mir ist unklar, was du mit dem Backslash an der Stelle erreichen willst, aber um die String-Konkatenation geht es mir nicht. Das kann man so machen.