У меня есть этот код:mysqli_real_escape_string и двойные кавычки вопрос
$var = mysqli_real_escape_string($connection,$_POST['var']);
$sql = "UPDATE users SET var = '$var' WHERE id = '$id'";
Если переменная является aaa
, это нормально, даже если переменная является aa'bbb
, но если переменная является sss"ddd
- вар, который обновляется является только sss
, Я знаю, это потому, что запрос mysql содержит "
.
Любая идея?
Попробуйте отладить '$ sql' (при необходимости var_dump) и покажите нам, что там. – Vatev
"UPDATE users SET var = 'abc \" def' WHERE id = '457' " –
Вы должны использовать prpared-инструкции для awoud sql-инъекции. Также экранирование специального charater будет выполняться привязкой значения. – Jens