Indem du den Wert $_POST[‚text‘] nicht einfach so in die Datenbank einträgst, sondern noch mit mysql_real_escape_string().
[PHP]
$sql = „INSERT INTO tabelle (spalte) VALUES ('“.mysql_real_escape_string($_POST[‚text‘]).„')“;[/PHP]
An der Abfrage liegt es nicht. Der Code kommt ja schon falsch in der Datenbank an.
@crash: Eigentlich hast du Recht, aber ich will den Code genau so ausgeben. Gibt es keine Funktion mit der der Code genau so in der Datenbank ankommt wie ich in die textarea schriebe?
schon klar, trotzdem ist es heutzutage sogar bei Microsoft üblich potentielle Fehler abzufangen. In deinem Fall ist egal welcher Fehler auftritt das verhalten unspezifiziert, d.h. du weißt nicht was passiert.
Wenn du bind für alle werte verwendest, sollte der Code 1:1 in der Tabelle ankommen wie er eingeben wurde.
Ich kann kein PHP aber in Perl wird das so gemacht, ja. Genau dafür gibt es doch die Methoden, dass du keine Werte mehr maskieren musst, das passiert automatisch.