Frage zu mysql_real_escape_string()

[Frank]

Also ich habe eigentlich nur eine kleine Frage.

Bis jetz erstell ich meine Querys immer so:

$qry = 
"SELECT id FROM table WHERE name = '".mysql_real_escape_string($_POST['usereingabe'])."'";

Wäre es auch so möglich?:

$qry = mysql_real_escape_string(
"SELECT id FROM table WHERE name = '".$_POST['usereingabe']."'");

 

[XraYSoLo]

ausprobieren, müsste aber schon gehen.

Nils aka XraYSoLo

 

[Alti]

Ähm vllt täusche ich mich, aber sollte man mysql_real_escape_string nicht vor dem Eintrgane in die DB verwenden?

 

[XraYSoLo]

das ist ja auch nur zum schutz, was er meint. überleg' mal, es kommen usernamen vor, die nicht richtig escaped sind...per eingabe könnte dann die komplette DB von dritten ausgelesen werden.

Nils aka XraYSoLo