Problem mit Apostroph bzw. ' bei Eintrag in SQL-Datenbank via PHP/HTML

Guten Abend.

Ich habe ein HTML-Formular, dass via PHP etwas in eine SQL-Datenbank eintragen soll.
Das klappt soweit auch problemlos, jedoch wird nichts eingetragen, wenn in einem der Felder ein Apostroph bzw. steht.

Kann mir bitte jemand weiterhelfen? Habe schon gegoogelt, doch nur andere Probleme mit dem Apostroph gefunden. :-?

Danke vorab!
hltrskltr

Du escapest die Eingaben beim Eintrag in den Query-String vermutlich nicht und hast deshalb ein Kontextwechsel-Problem.

Die Funktion, die du nutzen musst, ist vermutlich PHP: mysql_real_escape_string - Manual.

Es ist sehr wichtig, Eingaben zu escapen, da du sonst SQL-Injection-Attacken Tür und Tor öffnest.

Edit: Es ist mysql_real_escape_string. Hör hier ausnahmsweise nicht auf threadi. :smiley:

Verwendest Du schon PHP: mysql_escape_string - Manual ?

Danke für die schnellen Antworten! So richtig verstehe ich jedoch nicht wie ich in meinem Fall mysql_real_escape_string verwenden muss. :oops::oops:

[PHP]$sql_befehl = „INSERT INTO tabelle (Farbe) VALUES (‚$_POST[Farbe]‘)“;[/PHP]

Beispiele gibts im verlinkten Manual :wink:

[PHP]
$sql_befehl = „INSERT INTO tabelle (Farbe) VALUES ('“.mysql_real_escape_string($_POST[‚Farbe‘]).„')“;
[/PHP]