mysql_real_escape_string non funziona

[slang6]

Ciao a tutti,

ho notato che non viene applicato il mysql_real_escape_string nonostante non riceva errori a riguardo. Se non ho capito male, una volta fatto l'insert, dovrei trovarmi / davanti ai caratteri pericolosi.

codice:

include ("connessione_db.php"); //mi collego al db	
$descrizione = mysql_real_escape_string($_POST['descrizione']);

//lancio la query

Se in descrizione scrivo, ad esempio, "l'abc dell'xyz" nel database mi ritrovo la stessa identica stringa anzi che quella che mi aspetterei ovvero "l/'abc dell/'xyz".

Dove sbaglio?


PS ma ad usare addslash al posto dell'escape cambia qualcosa?

Grazie

[jlocke2010]

Ciao,
è corretto che nel database ti trovi la stringa così come l'hai digitata.

L'escape si applica appunto alla stringa ad esempio:

Codice PHP:

"UPDATE tabella SET nome = 'l'abc dell'xyz'" 


causerebbe un'errore oltre ad esporti a potenziali sql injection

invece con l'escape equivale a scrivere:

Codice PHP:

"UPDATE tabella SET nome = 'l\'abc dell\'xyz'" 


il carattere di escape \ dice che all'interprete che il carattere immediatamente successivo non deve essere gestito come apice, virgolette o altro inerenti al codice ma come un semlice apostrofo del testo quindi lui legge e memorizza correttamente "l'abc dell'xyz".

Ciao

[jlocke2010]

Sulla seconda query postata sopra considera il carattere di escape prima di abx e xyz il forum non lo mette !