この文字列をPHPに保存するには？

Question

私はPHPでこの文字列を保存する場合：私は、「（明らかに削除せず」）とこれらの文字列を保存することができますどのように

John: \ 

：私のデータベースで

John: "Yes you can". 

は、として保存されます。 は、これは私のPHPコードです：

$titlepost= mysql_real_escape_string($_POST['title']); 
$query = "INSERT INTO `titles` (`title`) VALUES ('".$titlepost."')"; 
$res = mysql_query($query) or die("Failed".mysql_error()); 

echo $titlepost; 

output: 
John: \\ 

FORM：

$title = mysql_real_escape_string($_GET['title']); 

<form method="post" action="title.php?done=yes" enctype="multipart/form-data"> 
<input type="text" size="25" name="title" <?php echo "value=\"".$title."\""; ?> > 
<input id="starit" name="submit" value="titleit" type="submit" /> 
</form> 

Answer 1

あなたの問題はPHPやMysQLとは関係ありません。

非常に単純なHTML構文規則と同じくらい愚かです。一部： それはコード

<input value="John: "YES you can> 

だけ引用された「ジョン」と表示されますことは極めて明白です。 はそれが正しいようにするには、1、値のスラッシュについては

$titlepost = htmlspecialchars($titlepost,ENT_QUOTES); 
?> 
<input type="text" name="title" value="<?=$titlepost?>"> 

に特殊記号をエンコードする必要があります - それは愚かな過度の引用問題です。あなたの文字列を一度だけ引用して、magic_quotes_gpcがオフになっていることを確認してください。

Answer 2

する必要はありませんPDO

http://php.net/manual/en/pdo.prepared-statements.php

から準備された文にパラメータをプリペアドステートメントを使用してみてください引用される;ドライバは自動的にこれを処理します。アプリケーションがプリペアドステートメントを排他的に使用する場合、開発者はSQLインジェクションが発生しないことを確認できます（ただし、エスケープされていない入力でクエリの他の部分が構築されている場合は、SQLインジェクションは可能です）。

Answer 3

あなたは本当にあなたが魔法（あなたがエスケープされた文字列をエスケープしているので、データベースにバックスラッシュを挿入行う原因となる）と列サイズを引用符を使用しているように聞こえる、あなたのデータベースにJohn: \を取得する場合（バックスラッシュが欠落した後に何かが表示される）

はこれを試してみてください：

if(get_magic_quotes_gpc()) $_POST = array_map('stripslashes', $_POST); 
$titlepost = mysql_real_escape_string($_POST['title']); 

これは$_POSTはmysql_real_escape_stringを使用した後に壊すあらゆる魔法引用符エスケープデータが含まれていないことを保証します。