Problem mit Apostroph bzw. ' bei Eintrag in SQL-Datenbank via PHP/HTML

[hltrskltr]

Guten Abend.

Ich habe ein HTML-Formular, dass via PHP etwas in eine SQL-Datenbank eintragen soll.
Das klappt soweit auch problemlos, jedoch wird nichts eingetragen, wenn in einem der Felder ein Apostroph bzw. ' steht.

Kann mir bitte jemand weiterhelfen? Habe schon gegoogelt, doch nur andere Probleme mit dem Apostroph gefunden. :-?

Danke vorab!
hltrskltr

 

[mermshaus]

Du escapest die Eingaben beim Eintrag in den Query-String vermutlich nicht und hast deshalb ein Kontextwechsel-Problem.

- Artikel:Kontextwechsel (vor allem Kapitel 6)

Die Funktion, die du nutzen musst, ist vermutlich PHP: mysql_real_escape_string - Manual.

Es ist sehr wichtig, Eingaben zu escapen, da du sonst SQL-Injection-Attacken Tür und Tor öffnest.

- SQL-Injection

Edit: Es ist mysql_real_escape_string. Hör hier ausnahmsweise nicht auf threadi.

 

[threadi]

Verwendest Du schon PHP: mysql_escape_string - Manual ?

 

[hltrskltr]

Danke für die schnellen Antworten! So richtig verstehe ich jedoch nicht wie ich in meinem Fall mysql_real_escape_string verwenden muss.

$sql_befehl = "INSERT INTO tabelle (Farbe) VALUES ('$_POST[Farbe]')";

 

[threadi]

Beispiele gibts im verlinkten Manual ;)

 

[sysop]

$sql_befehl = "INSERT INTO tabelle (Farbe) VALUES ('".mysql_real_escape_string($_POST['Farbe'])."')";