Nel senso che puoi fare così;
Codice PHP:
$mess=mysqli_real_escape_string($link,htmlentities($_POST['messaggio']));
$strsql = "INSERT INTO campi(textarea,checkbox,radio,select) VALUES ('$mess','-','-','-')";
mysqli_query($link, $strsql) or die("Errore query database: " . mysqli_error($link));
oppure, con i prepared statement
Codice PHP:
$mess=htmlentities($_POST['messaggio']));
$stmt = mysqli_prepare($link, "INSERT INTO campi(textarea,checkbox,radio,select) VALUES (?,'-','-','-')");
mysqli_stmt_bind_param($stmt, "s", $mess); // la s sta per string
mysqli_stmt_execute($stmt); // esegue la query
// Con più parametri sarebbe
$mess=htmlentities($_POST['messaggio']));
$stmt = mysqli_prepare($link, "INSERT INTO campi(textarea,checkbox,radio,select) VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, "ssss", $mess, $checkbox, $radio, $select);
// la s sta per string. In questo caso tutti i paramentri sono string
mysqli_stmt_execute($stmt); // esegue la query
Rispondi quotando