| |
|
|
| | в обработчике формы
проверяем
if (isset($_POST['title'])) {$title = $_POST['title']; if ($title == '') {unset ($title);} }
|
потом записываем в БД
$main_query_sql = "insert pu SET
id_pu=" . mysql_real_escape_string($id_pu) . ",
title='$title',
|
вопрос.
надо title (название компании) писать так
title=" . mysql_real_escape_string($title) . ",
|
или так
title='" . mysql_real_escape_string($title) . "'
или оставить
вдогонку
так же в обработчике
text='" . mysql_real_escape_string($text) . "',
но тогда
запись <b
r>
<img class="expando" border="0" src="img ...
|
сокращается до первой кавычки
как тут быть? | |
| |
|
|
| |
|
|
| |
для: liberty
(28.05.2013 в 05:36)
| | | Экранировать данные нужно один раз. Иногда этим занимается сервер. Поэтому задача немного усложняется. Вы сначала должны выяснить, не экранирует ли данные сервер, потом экранировать их или нет. При этом числовые значения лучше сразу приводить к числу. Т.е. в вашем случае лучше поступить так
<?php
...
if (!get_magic_quotes_gpc())
{
$_POST['title'] = mysql_escape_string($_POST['title']);
}
$main_query_sql = "insert pu SET
id_pu=" . intval($id_pu) . ",
title='{$_POST['title']}',"
?>
|
Можно использовать mysql_real_escape_string(), но она не всегда удобна, так как требует подключения к базе данных. | |
| |
|
|
| |
|
|
| |
для: liberty
(28.05.2013 в 05:36)
| | |
if ($title == '') {unset ($title);}
|
смысл этого? Если поле обязательное, то ошибку нужно выводить, когда пустота, а не продолжать выполнение скрипта. Для необязательного поля эта строка лишняя.
сокращается до первой кавычки
<br>
<img class=
|
Включить вывод ошибок и посмотреть.
Вообще-то хранить html-тэги в базе данных - верх идиотизма.
Тем более, если на выводе текст обрабатывается через htmlspecialchars, а это почти всегда обязательно, то html-код преобразуется в текст. | |
| |
|
|
