Сообщение от Shaci
|
ок, ну первый в голову сразу приходит:
mysql_real_escape_string чтобы убить кавычки,
только лучше проверять, включены ли magic_quotes,т.е. делать вот так:
//если включены magic quotes, отменяем их действие
if (get_magic_quotes_gpc()) {
$userString = stripslashes($userString);
}
//обрабатываем строку
mysql_real_escape_string($userString);
+ что очень важно, нужно помнить, что в базу кавычки попадают уже без слешей, т.е. кода данные вытаскиваем, применять к ним stripslashes уже не надо
|
Ну да, это как раз первый способ. Но минус в том, что есть шанс где-то забыть сделать проверку.
Второй способ надежнее и быстрее работает с БД