Nu skal vi vist lige også advare en gang til mod htmlspecialchars. Som allerede anført er det en dum idé at lave om til noget andet i forbindelse med opbevaring - det opdager man den dag man skal bruge det til noget andet. Og så er der jo også noget med at længden af strengen der opbevares ikke er den samme, som den der indtastes. Opbevar det så tæt på det oprindelige format som muligt.
Men påstanden om at ' bliver lavet om skal altså lige imødegås fra min side, så der ikke er nogen, der "falder i" ved at bruge det "gode råd". Denne stump
$s = htmlspecialchars("Hej'sa");
if ($s == "Hej'sa") {
print "Der skete ikke noget<br>";
}
print $s;
udskriver: "Der skete ikke noget<br>". Altså ingen beskyttelse mod sqlinjections.
Man kan selvfølgelig læse på
http://php.net/specialchars og se at man godt kan få '-en erstattet:
$s = htmlspecialchars("Hej'sa",ENT_QUOTES);
Hvorefter $s vil indeholde: Hej'sa
Det er jo sikkert nok, men har som sagt andre problemer.