MYSQL insérer une chaîne à partir de la zone de texte html avec un point-virgule ... conseiller?

Question

Ceci est en ce qui concerne PHP, Mysql et Html textarea.

Je veux vider l'entrée d'un utilisateur de la zone de texte html dans ma base de données mysql. La situation est que si l'utilisateur a des points-virgules dans le texte lui-même, mysql rejettera la commande d'insertion pour des raisons évidentes. Qu'est-ce que je veux savoir, c'est qu'il y a des moyens de forcer mysql à entrer dans l'entrée d'un utilisateur indépendamment de sa syntaxe?

très apprécié à l'avance :)

Answer 1

Vous devez échapper à tous les caractères spéciaux SQL, comme point-virgule. mysql_real_escape_string pourrait être utile. N'oubliez pas d'échapper l'entrée de l'utilisateur si vous l'envoyez à un navigateur, sinon vous serez vulnérable aux attaques XSS (cross-site scripting). Bien sûr, cette fois vous aurez besoin d'échapper les caractères spéciaux HTML, pas SQL.

Answer 2

Tous les champs de texte doivent être protégés en utilisant la fonction php « de mysql_real_escape_string » avant d'être inséré dans MySQL:

http://us2.php.net/manual/en/function.mysql-real-escape-string.php

Answer 3

La réponse ci-dessus est correcte, mais pour ajouter à ce qu'il a dit, vous pouvez utiliser strip_tags() pour assainir la sortie pour éviter XSS.