Conflitto tra apici e virgolette

[lello1985]

Ciao a tutti. Vi posto il codice:

$mod4 = '/* insert into the db. (the last 0 for status), aggiunta del contatto Skype nella query */
$sql = "UPDATE ".TABLE_PREFIX."members SET email = '$_POST[email]', website = '$_POST[website]', first_name = '$_POST[first_name]', second_name = '$_POST[second_name]', last_name = '$_POST[last_name]', dob = '$dob', gender = '$_POST[gender]', address = '$_POST[address]', postal = '$_POST[postal]', city = '$_POST[city]', province = '$_POST[province]', country = '$_POST[country]', phone = '$_POST[phone]', status = $_POST[status], language = '$_SESSION[lang]', private_email = '$_POST[private_email]', creation_date = creation_date, last_login = last_login, cont_skype = '$_POST[cont_skype]' WHERE member_id = $id";';
$aggiungo4 = fwrite($edit_usermod,$mod4);

Premetto che la query così come sta funziona, ma quando vado ad attivare lo script che mi aggiunge questa query in un altro script, mi dà un errore di sintassi perchè gli apici che aprono il contenuto della variabile $mod4 vanno in conflitto con gli apici dei vai POST. Qualcuno mi sa dare la soluzione?

[Ugly Mau]

Non dovresti passare i dati dei form direttamente alla query senza fare un controllo prima!

Cerca "sql injection" e troverai la soluzione anche per il tuo problema

[piero.mac]

Originariamente inviato da lello1985
Premetto che la query così come sta funziona, ma quando vado ad attivare lo script che mi aggiunge questa query in un altro script, mi dà un errore di sintassi perchè gli apici che aprono il contenuto della variabile $mod4 vanno in conflitto con gli apici dei vai POST. Qualcuno mi sa dare la soluzione?

la soluzione la trovi qui:

http://forum.html.it/forum/showthrea...ostid=10166292