mysql s'échapper les guillemets simples et doubles

J'ai un script que je suis en train d'écrire pour déplacer certains champs dans une nouvelle db comme

$results = mysql_query ( "SELECT body, title  FROM $source_db.Post" );
while ($row = mysql_fetch_array($results)) {
if(mysql_num_rows($users_result) > 0){
    $insert = "INSERT INTO wp_posts (`body`,`title`) VALUES ('{$row['body']}', '{$row['row']}')";
    mysql_query($insert);
    }
}

mais comme vous pouvez le voir à la requête de pause à chaque fois en raison de la les guillemets simples et doubles, est-il une solution à ce problème, comme herdok ou quelque chose

INSERT INTO wp_posts (`body`,`title`)
            VALUES
                ('Here are the final returns from today's ...<br /><br />he stayed home...<br />
<div class="entry-content">
<div class="entry-body">', 'something')

stackoverflow.com/questions/601300/what-is-sql-injection
double possible de Meilleur moyen d'arrêter l'Injection SQL dans PHP

InformationsquelleAutor Matt Elhotiby | 2011-01-21

mysql_real_escape_string est faite pour tout cela.

PHP: mysql_real_escape_string

$insert = "INSERT INTO wp_posts ('body','title') VALUES ('".mysql_real_escape_string($row['body'])."', '".mysql_real_escape_string($row['row'])."')";

InformationsquelleAutor Michael Irigoyen

1

L'autre option est d'utiliser mysqli et préparées
```
$stmt = $this->db->prepare("insert into table (id,name,longstring) values (?,?,?));
$stmt->bind_param('iss',$row["id"],$row["name"],$row["body"]);
$stmt->execute();
```
mysqli va lier les paramètres assignés à l' ? dans la déclaration préparée par un nombre entier (i) ou une chaîne de caractères (s).

InformationsquelleAutor JKupe
0

La sanest approche consiste à utiliser les paramètres liés. Bobby Tables a des exemples.

InformationsquelleAutor Quentin

Vous devez vous connecter pour publier un commentaire.