[PHP]Znaki Opcje

[dareksbs]

Witam,

Mam problem z dodaniem kodu HTML typu '" do bazy danych, za każdym razem kiedy wpiszę je do formularza następuje błąd dodawania danych do bazy danych

Błąd :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"'

Tak wygląda moje połączenie oraz dodawanie danych do bazy

[PHP] pobierz, plaintext 
$connect = @mysql_connect (test,test,test) or die ("ERROR 0001");
                     mysql_select_db('test') or die ("ERROR 0002");
$query = "INSERT INTO dane VALUES ('', '".$_POST['dane1']."', '".$_POST['dane2']."', '".$_POST['dane3']."'')";
$makeit = mysql_query ($query) or die(mysql_error());
echo"<h1>Informacje dodane</h1>";
[PHP] pobierz, plaintext 

Kodu HTML nie będę dodawał bo to zwykły formularz.

Ma ktoś jakiś pomysł jak temu zapobiec

Ten post edytował dareksbs 5.11.2012, 22:20:27

[tab]

uzyj funkcji addslashes na uploadowanych plikach, a przy ich odczytywaniu uzyj stripslashes

Ten post edytował tab 5.11.2012, 22:22:41

[Spawnm]

[PHP] pobierz, plaintext 
 '".$_POST['dane3']."'')";
[PHP] pobierz, plaintext 

Nie za dużo ' przed nawiasem?

@Tab - tak sie tego nie robi.
Poczytaj o mysql_real_escape_string()

Powód edycji: [Spawnm]:

[dareksbs]

Czyli przykładowo jak bym chciał użyć mysql_real_escape_string to muszę wszystkie posty zamienić na zmienne z tą funkcją coś w stylu

$imie = mysql_real_escape_string($imie),
$nazwisko = mysql_real_escape_string($nazwisko),
$adres = mysql_real_escape_string($adres),
$ksywa = mysql_real_escape_string($ksywa));

i dopiero te zmienne wysyłać na mysql

Ten post edytował dareksbs 5.11.2012, 23:19:47

[tab]

tak dokładnie

[dareksbs]

Teraz wysyła pusty formularz...

Zrobiłem coś takiego :

[PHP] pobierz, plaintext 
    $connect = @mysql_connect (test,test,test) or die ("ERROR 0001");
    mysql_select_db('test') or die ("ERROR 0002");
    $_POST['dane1'] =  mysql_real_escape_string($dane1);
    $_POST['dane2'] =  mysql_real_escape_string($dane2);
    $_POST['dane3'] =  mysql_real_escape_string($dane3);
    $query = "INSERT INTO dane VALUES ('', '".$dane1."', '".$dane2."', '".$dane3."')";
    $makeit = mysql_query ($query) or die(mysql_error());
    echo"<h1>Informacje dodane</h1>";
[PHP] pobierz, plaintext 

[b4rt3kk]

Teraz wysyła pusty formularz...

Zrobiłem coś takiego :

[PHP] pobierz, plaintext 
    $connect = @mysql_connect (test,test,test) or die ("ERROR 0001");
    mysql_select_db('test') or die ("ERROR 0002");
    $_POST['dane1'] =  mysql_real_escape_string($dane1);
    $_POST['dane2'] =  mysql_real_escape_string($dane2);
    $_POST['dane3'] =  mysql_real_escape_string($dane3);
    $query = "INSERT INTO dane VALUES ('', '".$dane1."', '".$dane2."', '".$dane3."')";
    $makeit = mysql_query ($query) or die(mysql_error());
    echo"<h1>Informacje dodane</h1>";
[PHP] pobierz, plaintext 

No i nic dziwnego. Zauważ, że przypisujesz wartości do $_POST, a do bazy wpisujesz $dane1, $dane2, $dane3.

[PHP] pobierz, plaintext 
    $connect = @mysql_connect (test,test,test) or die ("ERROR 0001");
    mysql_select_db('test') or die ("ERROR 0002");
    $dane1 =  mysql_real_escape_string($_POST['dane1']);
    $dane2 =  mysql_real_escape_string($_POST['dane2']);
    $dane3 =  mysql_real_escape_string($_POST['dane3']);
    $query = "INSERT INTO dane VALUES ('', '".$dane1."', '".$dane2."', '".$dane3."')";
    $makeit = mysql_query ($query) or die(mysql_error());
    echo"<h1>Informacje dodane</h1>";
[PHP] pobierz, plaintext 

Powyższe powinno załatwić sprawę.

[dareksbs]

No i nic dziwnego. Zauważ, że przypisujesz wartości do $_POST, a do bazy wpisujesz $dane1, $dane2, $dane3.

[PHP] pobierz, plaintext 
    $connect = @mysql_connect (test,test,test) or die ("ERROR 0001");
    mysql_select_db('test') or die ("ERROR 0002");
    $dane1 =  mysql_real_escape_string($_POST['dane1']);
    $dane2 =  mysql_real_escape_string($_POST['dane2']);
    $dane3 =  mysql_real_escape_string($_POST['dane3']);
    $query = "INSERT INTO dane VALUES ('', '".$dane1."', '".$dane2."', '".$dane3."')";
    $makeit = mysql_query ($query) or die(mysql_error());
    echo"<h1>Informacje dodane</h1>";
[PHP] pobierz, plaintext 

Powyższe powinno załatwić sprawę.

;O hahaha okej, ja już będę szedł spać bo nie myślę ! dzięki za pomoc !