apostrof problemer???

Du siger du bruger PHP og MySQL, men hvilket bibliotek bruger du?

Hvis du bruger mysql_*:

$stmt = mysql_query("INSERT INTO comments (comment) VALUES ('".mysql_escape_string($_POST['textarea'])."')");

Hvis du bruger mysqli_*:

$stmt = mysqli_query($db, "INSERT INTO comments (comment) VALUES ('".mysqli_real_escape_string($db, $_POST['textarea'])."')");

eller

$stmt = $db->query("INSERT INTO comments (comment) VALUES ('".$db->escape_string($_POST['textarea'])."')");

Hvis du bruger PDO:

$stmt = $db->prepare("INSERT INTO comments (comment) VALUES (:comment)");
$stmt->execute(array(
  ':comment' => $_POST['textarea']
));

Hmm ... Med apostrofer går jeg ud fra du mener ' ? Hvor sætter du dem? Rundt om variabler, eller rundt om navne på felter/tabeller? Det sidste er nemlig ikke tilladt, der bruges ` .

Se følgende SQL:

INSERT INTO comments (comment) VALUES ('Don't do it')

Det giver jo ingen mening, og bør i stedet være

INSERT INTO comments (comment) VALUES ('Don\\'t do it')

Har du en variabel, som skal sættes ind som en del af en SQL query, skal du først gøre den klar til det (Ellers opstår der problemer med ' som i øvrigt er et sikkerhedsproblem).

Hvis du fx bruger PHP sammen med mysql-biblioteket, skal du bruge mysql_escape_string. Bruger du PHP sammen med PDO, bør du bruge prepared statements.

Hvad skal jeg gøre rent praktisk når der bliver tilføjet data til databasen via et "textarea"? Hvilke koder skal jeg bruge? (Det vil være rigtig godt med nogle eksempler på koder, da jeg ikke er så stærk i php!)

Ja bruger mysql_*
Men mange tak for hjælpen det virkede ..