Problema query con un "&"

[schutz]

Sicuramente è una cavolata, solo che non riesco a venirne a capo..

In pratica ho un input di tipo testo in cui va inserita una variabile e in base al valore di quella variabile estraggo dei dati con una query di selezione.

Il problema è che in quel campo di input ci potrebbe anche essere una variabile che contiene caratteri speciali, in particolare mi è capitato un &

Ho provato, chiamato il mio input "variabile", a inserire htmlspecialchars prima della query del tipo:


$variabile = htmlspecialchars ($variabile);

$sql = "SELECT * FROM tabella WHERE campo='$variabile'";

ma quando mi estraggo i record non ne trovo nemmeno uno..
Ho provato a vedere cosa mi passa $variabile dopo averla fatta passare per htmlspecialchars ma mi risulta solo tutto ciò che è a sinistra di &, ad esempio se $variabile=tom&jerry vedo solo $variabile=tom

Cosa devo fare?

[stabi]

secondo me non ti arriva proprio il secondo pezzo , il secondo pezzo (jerry) viene interpretata come nuova variabile.
prova ad usare il metodo post per inviare i dati.

[schutz]

prova ad usare il metodo post per inviare i dati.

Lo uso già in quel form..

[mcganass]

$variabile = str_replace("&","_",$variabile);
oppure
$variabile = str_replace("&","\&",$variabile);

\ dovrebbe essere interpretato come carattere di escape...

[schutz]

Niente da fare, mi vede solo "tom" e non "tom&jerry"..

[marco80]

ho provato a fare come Mcgannas ma ci vorrebbe un secondo passagio:
$variabile = str_replace("&","\&",$variabile);
fin qui prende il carattere come testo normale e non particolare ma aggiunge lo slash.
$variabile = str_replace("\&","&",$variabile);
qui esce lo slash con la &(\& e compromette il nome)
quindi levo la barretta da qusta \& interpretata ora come carattere normale.

[schutz]

Già prima del primo passaggio però mi elimina "&jerry" quindi anche aggiungendo e togliendo le slashes non trova il carattere & cui aggiungerle.

[marco80]

Io ho provato questo e funziona. Mi stampa tom&jerry.
$variabile = 'tom&jerry';
$variabile = str_replace("&","\&",$variabile);
$variabile = str_replace("\&","&",$variabile);
echo $variabile;

[13manuel84]

htmlspecialchars dovrebbe funzionare, ma visto che si stanno provando un pò di strade quando recuperi la variabile prova a fare così:

codice:

$variabile=htmlentities($_POST['varibaile'], ENT_QUOTES);
echo $variabile;

cosa ottieni?

[stabi]

il problema, penso, è che il valore arriva in post ed al momento di recuperare il valore del campo, nel passaggio sparisce &jerry
prova a mettere nel php di arrivo dal post

Codice PHP:

foreach ($_POST as $variabile)
{
echo $variabile.' valore '.$_POST[$variabile].'
';
}