Dodawanie rekordów do bazy Opcje

[thurinon]

Witam ponownie... ja jak zwykle mam jakiś problem. Ale do rzeczy.
Mam formularz, i "skrypt", który dodaje dane z formularza do bazy danych. oto on:

[PHP] pobierz, plaintext 
 
<?php
   //Odbieranie danych metodą post z formularza:
 
   $kategoriai= $_POST['kategoria'];
   $data= $_POST['data'];
   $godzina = $_POST['godzina'];
   $tytul = $_POST['tytul'];
   $tresc = $_POST['tresc'];
 
//Łączenie się z bazą mysql
 include('db.php');
 
 //Dodawanie rekordów do bazy mysql
   $dodaj  = mysql_query("INSERT INTO wpisy SET kategoria='$kategoria', data='$data', godzina='$godzina', tytul='$tytul',  tresc='$tresc', ");
 
//komunikaty
 
if($dodaj) echo '<div><p>Wpis o tytule "<strong>'.$tytul.'</strong>" został poprawnie dodany do bazy danych w kategorii <strong>'.$kategoria.'</strong> </p></div>';
    else echo "<div><p>Błąd - nie udało się dodać nowego wpisu</p></div>"; 
?>
 
 
[PHP] pobierz, plaintext 

I to działa. Problem pojawia się wtedy, gdy w formularzu (kodu nie przedstawiam - najzwyklejszy form) wpiszę jakieś znaki:
,./<>?;':"[]{}
Nie wiem czy chodzi o jakąś kombinację znaków, czy co. wiem że gdy w formularzu wpiszę np: Forum: nowy temat to już nie doda mi rekordu.

Wszelkie rady konstuktywna krytyka i serdeczne daj nam spokój mile widziane (IMG:style_emoticons/default/smile.gif)

Z góry dzięki i pozdrawiam

[patrix007]

Wg mojego zdania takie znaki trzeba odfiltrować bo strona będzie podatna na sql injection - będzie można wstrzyknąć zapytanie przez formularz (zniszczyć bazę danych), będzie można także wpisywać tagi html np taki spamerski iframe do jakiejś innej strony.

Nie napisałeś nic po co Ci obsługa takich znaków...