Задать вопрос
Sadyrbaev
@Sadyrbaev

Как избежать влияния апострофа в форме на sql запрос?

Вот часть кода добавления новой статьи:

$title = $_POST['title'];
$description = $_POST['description'];
$text = strip_tags($_POST['mytextarea']);
$date = date_default_timezone_set('Asia/Almaty');
$date = date('d.m.Y');
$id = $_POST['id'];

	$addArticles = "

INSERT INTO 
`$lang`
SET 
`title` = '$title', 
`description` = '$description', 
`link` = '$link', 
`date` = '$date', 
`text` = '$text'

";

	mysqli_query($conn, $addArticles);

А вот пример статьи, если в статье есть одинарная кавычка или апостроф в анг. языке, то статья не добавляется. Получается, эта кавычка как-то внедряется с sql запрос, разделяет код что ли. Как избежать такого поведения?
627cc5a7d7b0c876577551.png
  • Вопрос задан
  • 534 просмотра
Подписаться 1 Простой 1 комментарий
Решения вопроса 2
@Akela_wolf
Extreme Programmer
Поздравляю! Вы на собственном опыте узнали что такое SQL-injection

Откройте для себя PDO, у которого таких проблем нет.
Ответ написан
Sadyrbaev
@Sadyrbaev Автор вопроса
Здесь и сейчас помогло просто экранирование mysqli_real_escape_string($conn, $text);
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы