PHP Werteübergabe mit einem ' im Text

[Tipp-ex]

Hallo zusammen,

ich habe folgendes Problem, und zwar habe ich in meinem Formular ein Feld "Beschreibung" und hier kann es
auch mal vorkammen dass sich ein " ' " Zeichen im Text befindet. Daraus folgt nun logischerweise ein Fehler in meiner
query. Ich habe danach mal gegoogelt was man dagegen machen kann und bin da auf "mysql_real_escape_string" gestoßen.
Jedoch bekomme ich immer noch die gleiche Fehlermeldung wie ohne dieses "mysql_real_escape_string".

So habe ich es angeschrieben:

$BeschreibungDE = mysql_real_escape_string($_POST['BeschreibungDE']);

$sql = (" INSERT INTO tblObject
(dtBeschreibungDE)
VALUES
('".$BeschreibungDE."') ");

ich hoffe ihr könnt mir dabei helfen

mfg Tipp-ex

 

[faltermayer]

addslashes() könnte helfen:

http://php.net/manual/en/function.addslashes.php

 

[nik22]

gib doch einfach mal $sql aus, dann siehst du, was den Fehler auslöst.

 

[bu1137]

mysql_real_escape ist besser als addslashes, das brauchst nicht noch oben drauf...

 

[benneq]

Benutz bitte prepared statements!! Dein Code ist unsicher.

 

[UltiSalamander]

Benutz bitte prepared statements!! Dein Code ist unsicher.

Stichwort PDO, damit ist der Code nachher auch zusätzlich noch flexibel. ​

 

[Spike S.]

Da das später wohl nur noch angezeigt wird, macht htmlentities() fast mehr Sinn.

$sql = "INSERT INTO tblObject (dtBeschreibungDE) VALUES ('".htmlentities($BeschreibungDE, ENT_QUOTES)."');");

 

[Tipp-ex]

Vielen Dank für die vielen Antworten habe mein Problem nun gefunden und gelöst