Форум MySQL

вы тему хоть читали? Выше четко указано где применять htmlspecialchars().
UPD.
не говоря уже о $HTTP_POST_VARS...

http://www.softtime.ru/bookphp/gl10_1.php
здесь всё описно. удачи.

была такая жэ проблема. решил моментально.
кстати на сервере в компе нет проблемы. а на хостенге появлялась.
решение.
вставь этот код при обработке данных из формы
$meil = substr($HTTP_POST_VARS["meil"],0,32);
$meil = htmlspecialchars(stripslashes($meil));
это есть в учебнике по PHP на этом сайте.
помогло!!!

Ясно, спасибо большое!

Нельзя применять ENT_NOQUOTES в данном случае, иначе если в $name будет апостроф, то разметка станет неверной (или, как говорят, "невалидной").

htmlspecialchars() c mode "ENT_QUOTES" экранирует помимо всего прочего и апостроф, который учавствует в формировании значения атрибута "value". Это то же самое, что не применять экранирования апострофа при формировании SQL-запроса:

<?php $s = " ' "; $query = "SELECT * FROM `tbl` WHERE `s` = '$s';"; ?>

<?php $s = " ' "; echo "<input type='text' value='$s' />"; ?>

А может лучше оставить без изменений? Чтобы потом не убирать экранирование stripslashes()

<?php echo "<INPUT type='hidden' name='name' value='".htmlspecialchars($name, ENT_NOQUOTES)."'>"; ?>

<?php echo "<INPUT type='hidden' name='name' value='".htmlspecialchars($name, ENT_QUOTES)."'>"; ?>

При вводе данных в базу я использую функцию mysql_real_escape_string() перед этим удалив экранированные слэши кавычек, функцией stripslashes()

А при перенесении данных скрытой строкой, в другой файл, какую функцию использовать? Я использую htmlspecialchars() :

echo "<INPUT type='hidden' name='name' value='".htmlspecialchars($name)."'>";

htmlspecialchars() - нужно использовать при выводе (а не при сохранении в базу или в файл) данных полученных извне "несмотря ни на что и вопреки всему". т.е. постоянно.

>Нет. Не здесь. А вот где...
Спасибо, очен. удобно, много функций.

>Дальше написан сплошной бред.
Но как ни странно, этот бред работает нормально.