MySQL udtræk indeholdende apostrof

Er du så ikke kommet til at lave en escape for meget med \

I databasen skal der kun stå:  "Who's afraid of"

Jeg har nu kun en escape i koden, kan der være noget auto escape på, sådan at min escape bliver anden gang?

Jeg har prøvet at fjerne min mysql_real_escape_string og nu står det rigtigt "Who's afraid of" i databasen, men pga af apostrof får jeg en Warning: mysql_result(): supplied argument is not a valid MySQL result resource in...

Jeg mistænker magic quotes er enabled.

Ja, det er den, kan jeg se. Hvad skal jeg så skrive for at få min count til at give det rigtige resultat?

Du skal i hvert fald have styr på hvilke data du smider i databasen uanset om det er INSERTs eller SELECTs. Det gør du ved at sikre dig at magic_quotes ikke anvendes. Hvilken PHP version bruger du?

Anyhuu - ser her for at disable magic_quotes: http://www.php.net/manual/en/security.magicquotes.disabling.php

Om jeg selv kan slå den fra ved jeg ikke lige, der skal jeg vist lige have fat på DLX

Der er forslag til hvordan du kan gøre det uden at involvere din udbyder på samme side.

Du bør i dit PHP-program spørge på om magic_quotes er sat, og så fjerne med strip_slashes.

Derefter bør du altid, altid bruge prepared statements.

Skal du selv skrive en streng med en ' i, skal du sætte en \ foran, ganske som du selv skrev først:


echo mysql_result(mysql_query("select count(ID) from TABLE where Txt = 'Who\'s afraid of'"),0);

PHP 5

@erikj
Du mener at når der skal sættes ind i table så skal jeg skrive:
insert into TABLE ('Txt') values ('Who\' afraid of')

Hov, der manglede lige et s

Ja, hvis du vil skrive i SQL-strengen. Men ellers brug prepared statements med fx mysqli-funktionerne.

mysqli-funktioner kender jeg slet ikke, så det tjekker jeg lige op på :)

Nå, mysqli kræver vist lidt mere tid :) Den proces jeg skal have til at virke lige nu er:

...
<input type=text name=Txt value="Who\'s afraid of"> // og her skal jeg så skrive \'s(?).
...
...
mysql_query("insert into TABLE (Txt) values ('$Txt'); // vises i Db: "Who\'s afraid of".
...

Er jeg med så langt?

Hvad med at bruge den tid, det tager at lære prepared statements med mysqli?.

Nej, du skal aldrig selv skriv et \'

Det er et problem at PHP "sommetider" selv sætter en \ foran '  -  det er noget rod.

Ideelt set arbejder du aldrig på strenge med \' i - lige med undtagelse af ved opbygningen af SQL-sætningen.

OK, selvom det kniber lidt med tiden her, så vil jeg gå i krig med det, så vil jeg vende tilbage hvis det stadig kniber :) Tak for det. Smid et svar...

Nå, intet svar...