PHP quotes uit een var filteren

mysql_escape_string($string);

deprecated vanaf 4.3.0, zie mr. beneden mij

[ Voor 67% gewijzigd door simon op 11-04-2008 09:58 ]

Mysql_real_escape_string

[ Voor 73% gewijzigd door Helmet op 11-04-2008 09:57 ]

Dan moet je het database type ook melden. SQL is namelijk nogal breed. (MySQL, MSSQL, PostgreSQL, Ovrimos SQL, SQL-92, SQLite etc...)

Maar als je de moeite zou nemen om een keer de PHP manual te bekijken, zal je zien dat daar nogal wat functies staan die te maken hebben met string manipulatie. Daar zit vast bij wat je zoekt, alleen moet je het wel zelf doen.

[ Voor 8% gewijzigd door MueR op 11-04-2008 10:19 ]

Hij is er wel degelijk, je zoekt alleen niet goed. De pagina die ik in mijn vorige post link bevat de functie die je zoekt, je moet alleen even langer dan 3 seconden kijken. Dit soort dingen zijn toch wel echt basis wanneer je met databases werkt hoor.

Als je hier niet de tijd voor wil nemen, stop dan aub met queries, want je krijgt geheid sql injection mogelijkheden als escaping je niet kan boeien.

Kijk eens naar PDO, die kan dat wel, dmv params.

Hoe je quotes moet escapen in PHP kun je prima zelf vinden. Als ik daar namelijk zo'n beetje letterlijk op zoek is de eerste hit bij Google meteen het antwoord dat je zoekt. Daarnaast: zo'n magere topicstart als die wat je nu hebt gepost valt hier zelden in vruchtbare aarde. Om te beginnen worden er teveel aannames gemaakt, zoals je nu gemerkt hebt (MySQL vs. MSSQL). Ben in een topicstart altijd zo volledig mogelijk; liever teveel info dan te weinig.

Dit topic gaat in elk geval dicht; 5 seconden op Google lossen je probleem op.