Hallo

Ich nehme dafür eine Stelle vor bzw. am Beginn des Abschnitts, in dem die entsprechende Maskierung notwendig ist.

Das heißt, du legst extra eine neue Variable an, mit dem geänderten Wert, auf die du dann (in den vermutlich meisten Fällen) nur einmal zugreifst?

$var1_esc = escape($var1);

(alle Beispiele in Pseudocode)

Oder änderst du die bestehende Variable, so dass deren Inhalt für andere Zwecke quasi wertlos geworden ist (nicht immer gibt es eine eindeutige Umkehrfunktion)?

$var1 = escape($var1);

Meist verwende ich die letztere Möglichkeit. Da ich das aber innerhalb von Funktionen mache, entwerte ich den String in der ursprünglichen Variable nicht.

function funktion_zum_sql_inserten($var) {  
global ...;  
  
$sql = funktion_zum_verbindungsaufbau();  
  
if ($sql===false)  
   {  
   # Fehler  
   $r = false;  
   }  
else  
   {  
   # Maskierungen und weitere eventuelle Aufbereitungen  
   $var = mysql_real_escape_string($var);  
   $frage = "INSERT INTO tabelle (eintrag) VALUES '".$var."'";  
   $r = funktion_zur_abfrage_und_ausgabe($frage,$sql);  
   }  
return $r;  
} # Ende: funktion_zum_sql_inserten($var1)  
  
$var1 = "String mit allerhand Text.";  
  
$sql_return = funktion_zum_sql_inserten($var1);

Auch bei dieser Vorgehensweise [Version 2] muss man sich (unnötigerweise) merken, dass eine Bearbeitung bereits stattgefunden hat, auch wenn das nur wenige Zeilen weiter oben geschieht. Und vor allem muss man es auch sicherstellen. Was ist, wenn du "unten" etwas ergänzen willst, und im Eifer des Gefechts vergisst, "oben" die Bearbeitung einzufügen? Ist es nicht wesentlich auffälliger, wenn stattdessen bei einer Anzahl von mit Escape-Funktionen eingefügten Variablen plötzlich eine solo dasteht?

Ja, die Gefahr ist gegeben. Dem kann ich auch nichts als ein "Da muss ich halt aufpassen." entgegenhalten. Und ich weiß, dass das nicht wirklich überzeugend klingt.

Tschö, Auge