hoe kan ik er voor zorgen dat bij onderstaande er geen foutmeldingen zijn als er bvb bij het franse nieuws een ' in de tekst staat, nu krijg ik een syntax error.
Welke syntax error?
Kan zoveel zijn, sowieso kloppen je kaajes { en } niet en ook if($_POSt... klopt niet, moet iets zijn van isset($_POST... en je gebruikt $_POSt in je if, maar in je query gebruik je $HTTP_POST_VARS? Dat is 5 jaar terug. zo'n beetje.
$HTTP_POST_VARS[...] vervangen door $_POST['...' (tussen quotes)].
Kortom :P
Leg wat meer uit, laat een beter relevant deel zien. En geef de fout, anders kunnen wij ook niets.
$query = "INSERT INTO nieuws
(titel,datum,short,nieuws,foto,fotokl,date,titelFR,shortFR,nieuwsFR,fr)
VALUES
('$titel','$datum','$short','$nieuws','$foto','$fotokl','$date','$titelFR','$shortFR','$nieuwsFR','$fr')";
mysql_query($query) or die (mysql_error());
deze pagina is gewoon toevoegen, er moet achteraf niks getoond worden
VOLLEDIGE PAGINA :
mod edit door: Robert Deiman
Graag alleen relevante code posten. Begin voor alle code met [ignore]
en sluit aan het einde af met
[/ignore] Dan is het tenminste overzichtelijk.
Robert Deiman
?
Onbekende gebruiker
24-04-2009 11:37
@Steve plaats alleen relevante code en niet je hele pagina. Ten tweede: Kijk eens de SQL beginners tutorial en PHP beginners tutorial door, want zo gaat dat niet he.
Addslashes moet je voor dit soort zaken niet gebruiken. Gebruik daar voor in de plaats gewoon [php]mysql_real_escape_string[/php].
Je moet alle variabelen die SQL binnen gaan controleren op geldigheid, (moet het een getal zijn, zorg dan ook dat de input alleen een getal kan zijn) en gooi over alle input in de query's mysql_real_escape_string.
Addslashes maakt een rommeltje van alle data die je in je database gooit, bij mysql_real_escape_string wordt er alleen gezorgd dat alles wat je invoert ook als tekst in de database komt te staan, dus dat er geen mysql_injection mogelijk is.
