Как избежать влияния апострофа в форме на sql запрос?

Question

[Ruslan Website]

Вот часть кода добавления новой статьи:

$title = $_POST['title'];
$description = $_POST['description'];
$text = strip_tags($_POST['mytextarea']);
$date = date_default_timezone_set('Asia/Almaty');
$date = date('d.m.Y');
$id = $_POST['id'];

	$addArticles = "

INSERT INTO 
`$lang`
SET 
`title` = '$title', 
`description` = '$description', 
`link` = '$link', 
`date` = '$date', 
`text` = '$text'

";

	mysqli_query($conn, $addArticles);

А вот пример статьи, если в статье есть одинарная кавычка или апостроф в анг. языке, то статья не добавляется. Получается, эта кавычка как-то внедряется с sql запрос, разделяет код что ли. Как избежать такого поведения?

Comments

[Slava Rozhnev]

Прочитать SQL INJECTIONS про и использовать подготовленные выражения для запросов

Answer 1

[Михаил]

Поздравляю! Вы на собственном опыте узнали что такое SQL-injection

Откройте для себя PDO, у которого таких проблем нет.

Comments

[Ruslan Website]

Открою когда нибудь, сейчас мне нужно решить эту проблему.

[Михаил]

Тогда prepared statements

[Slava Rozhnev]

Михаил
Осмелюсь Вас огорчить. PDO сам по себе никак не решает данную проблему, единственный плюс - работа с подготовленными запросами в PDO немного удобней чем в mysqli

[Алексей Уколов]

Ruslan Website, вот и решите, перейдя на современный способ работы с sql.

[Ruslan Website]

TheAndrey7, Не надо здесь и сейчас, потому что сайт тестовый, никто кроме меня и пары людей о нем не знает.

[Михаил]

Slava Rozhnev,

Осмелюсь Вас огорчить. PDO сам по себе никак не решает данную проблему, единственный плюс - работа с подготовленными запросами в PDO немного удобней чем в mysqli

Согласен, поторопился. Забыл что подготовленные запросы в mysqli тоже есть.

[Vitsliputsli]

Slava Rozhnev, к слову говоря, все-таки PDO и сам может решать эту проблему, т.к. у него 2 режима работы: используя prepared statements и эмулируя их.

Answer 2

[Ruslan Website]

Здесь и сейчас помогло просто экранирование mysqli_real_escape_string($conn, $text);

Comments

[Михаил]

Верной дорогой идете, товарищ!

[Ruslan Website]

Михаил, ну главное работает же? или че то не всекаю?

$title = $_POST['title'];
$title2 = mysqli_real_escape_string($conn, $title);
$description = $_POST['description'];
$description2 = mysqli_real_escape_string($conn, $description);
$text = ($_POST['mytextarea']);
$text2 = mysqli_real_escape_string($conn, $text);

$addArticles = "

INSERT INTO 
`$lang`
SET 
`title` = '$title2', 
`description` = '$description2', 
`link` = '$link', 
`date` = '$date', 
`text` = '$text2'

";

А рост, развитие и все такое, это другая история.

[origami]

Ruslan Website, всё верно)