Hey Leute, schaute auf die PHP-Dokumente und googelte herum, aber keine Freude. Das ist mein Code-Snippet, das htmlspecialchars scheint nicht zu funktionieren, falscher Gebrauch davon?htmlspecialchars falsche Verwendung?
$query="SELECT * FROM likes";
$result=mysql_query($query);
$num=mysql_numrows($result);
$liked=htmlspecialchars($liked, ENT_QUOTES);
$liked=$_POST['liked'];
$query = "INSERT INTO likes VALUES ('','$name','$liked')";
Danke Jungs, James
Danke BoltClock, das hat perfekt funktioniert! :) Wenn es Ihnen nichts ausmacht, was sollte ich hinzufügen, um die mysql-Injektionen zu entkommen? (Wirklich neu bei PHP und MySQL)! Nochmals vielen Dank – DexCurl
Oder verwenden Sie parametrisierte Abfragen, die Sie vor SQL-Injection-Angriffen schützen. (mysql_real_escape_string() 'ist anfällig, wenn einige Zeichensätze für die Verbindung verwendet werden, da es keine länderspezifischen Anführungszeichen berücksichtigt.) – cdhowie
@James Whelton: Entkomme jeden deiner Werte, indem du ihn durch die Funktion 'mysql_real_escape_string()' übergibst . Tun Sie dies, bevor Sie Ihre SQL-Abfrage erstellen. – BoltClock