Caratteri speciali negli input text!

[andbaz]

Io ho un input di tipo testo, che con un form il contenuto di questo viene inviato al database, e fin qui tutto liscio, ma se io volessi inserire una cosa del genere per esempio 'dfg'dfgdf'gdfgd'&' mysql mi da errore:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'dfg'dfgdf'gdfgd'&' WHERE IDU='1'' at line 1

Qui vi allego il mio script!

Codice PHP:

function io() {
        global $idu, $io;
        if (isset($_POST['io'])) {
            $io = $_POST['io'];
            if ($io!='') {
                mysql_query("UPDATE io SET TESTO='$io' WHERE IDU='$idu'")
                    or die (mysql_error());
            }
        }
    } 


[Luke70]

usa http://php.net/manual/en/function.addslashes.php

[Simo990]

Pensa invece cosa succederebbe se ci scrivessi questo: '; DROP TABLE io; --

Devi proteggere il tuo database da attacchi esterni evadendo i caratteri pericolosi con la backslash oppure eliminandoli.
Per farlo puoi usare queste funzioni:
mysql_real_escape_string()
get_magic_quotes_gpc()
stripslashes()

cerca anche su google come proteggerti dalle SQL injection.

Invece per controllare che una variabile non sia vuota, usa la funzione empty()

[Enoa]

Occhio ad usare addslashes contro la sql injection
http://www.google.com/search?client=...utf-8&oe=utf-8

Oltre ad usare mysql_real_escape_string, i tempi sarebbero anche maturi per iniziare ad utilizzare PDO e i prepared statement