Obwohl viele Quellen das zitierenhtmlspecialchars funktionieren mitENT_QUOTES seinnicht Ausreichend, um SQL-Injection zu verhindern, liefert keiner von ihnen einen Beweis für das Konzept. Ich kann mir keine Möglichkeit vorstellen.

Betrachten wir das folgende Beispiel:

$username = htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
$sql = "SELECT * from user WHERE name='$username'";
mysql_query($sql,...);

Kann jemand ein Beispiel geben, ANDERE als diejenigen, die von dem Fall abgedeckt werden, wennSQL Injection umgeht mysql_real_escape_string ()?