Это правильный способ избежать строки на всякий случай, или я могу вставить строку, подобную этой, без дополнительного экранирования?Правильный способ избежать строки после замены котировок?
$filenamefordb = preg_replace('/[^A-Za-z0-9а-яА-Я_\.\-]/u', '', $filenamefordb);
$query = "INSERT INTO file SET filename='$filenamefordb";
Я не использую mysqli_escape, потому что мне также нужно имя без кавычек в другом месте
Почему бы не использовать спасаясь функции, предусмотренные вашим MySQL API? Тогда вы узнаете, что это правильно ... –
, потому что мне нужно имя файла без каких-либо символов. – x1site
. Что хорошего делает случайное удаление кучки символов? Разве вы не просто ломаете множество возможных входных имен файлов? Зачем? –