Codeformatierung ist ein essenzieller Bestandteil, du solltest mehr Wert darauf legen. Darum epmfehle ich auch <?php statt <? zu verwenden, weil <?php Konfigurationsunabhängig ist.
Bei Daten die vom Benutzer kommen solltest du nicht nur die HTML-Sonderzeichen maskieren, sonder auch Zeichen, die der SQL-Abfrage gefährlich werden könnten. MySQL kennt daher die Funktion mysql_real_escape_string().
Außerdem solltest du die Werte nicht einfach so in die Abfrage einbauen, sondern '' (Korrektur: auch hier sind es einfache Anführungszeichen) um die einzufügenden Werte schreiben, damit der Variableninhalt als zusammenhängend erkannt wird.
Ich empfehle dir weiterhin immer einfache Anführungszeichen (') zu verwenden, da da einen kleinen Performanceboos mit bringt. Außerdem musst du dann nicht alle " escapen.
Auch finde ich es nicht gerade gut, wenn du die Variablen als Teil des Strings schreibst (bezogen auf die Abfrage, an anderer Stelle scheint es zu passen). ...string' . $vari . 'string... wäre nicht so anfällig für Fehler.
Zitieren