специальные символы сломать MySQL вставить

Question

У меня есть MySQL заявление так:

mysql_query("INSERT INTO movies (comments, description, synopsis) 
VALUES ('$_POST["comments"]', '$_POST["desc"]',$_POST["synopsis"])"); 

очень прост и понятен, как вы можете видеть. Проблема заключается в том, что я ввожу специальные символы в форму, она не вставляет данные в мою таблицу (с помощью phpmyadmin для проверки непосредственно, если она была вставлена). например, если я добавляю в комментарии textarea это значение: «это комментарий» это работает , если я вместо этого назову: «как тебя зовут?: John doe - мое имя» это breaks.I знаю его, потому что mysql использует персонажи ... любые предложения о том, что я должен делать?

Answer 1

mysql_query("INSERT INTO movies (comments, description, synopsis) 
VALUES ('".mysql_real_escape_string($_POST["comments"])."', '".mysql_real_escape_string($_POST["desc"])."','".mysql_real_escape_string($_POST["synopsis"])."'"); 

Answer 2

$comments = mysql_real_escape_string($_POST['comments']); 
$desc = mysql_real_escape_string($_POST['desc']); 
$synopsis = mysql_real_escape_string($_POST['synopsis']); 

mysql_query("INSERT INTO movies (comments, description, synopsis) 
VALUES ('$comments', '$desc', '$synopsis'"); 

Для получения дополнительной информации Google "PHP addslashes", или посмотреть на этой странице выглядит пояснительная http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php

Answer 3

$comments = mysql_real_escape_string($_POST['comments']); 
$desc = mysql_real_escape_string($_POST['desc']); 
$synopsis = mysql_real_escape_string($_POST['synopsis']); 

mysql_query("INSERT INTO movies (comments, description, synopsis) 
VALUES ('$comments', '$desc', '$synopsis'");