Hoe krijg ik een apostroph in een zoek query?

Met addslashes() moet je in deze praktijk niks beginnen. Je wilt je data immers zeker niet vervuilen.
Ik raad aan om magic_quotes_gpc op OFF te zetten, en consequent mysqli_real_escape_string() te gebruiken op alle $_POST. $_GET en $_COOKIE-variabelen.

Als je "van 't Veld" invult en er komt "van \'t Veld" in je database te staan dan gaat er iets verkeerd. In feite escape je dan gewoon dubbel en de reden ligt waarschijnlijk bij de magic quotes. Deze feature van php is puur slecht en zal je uit moeten zetten als dat kan (niet voor niets heeft php het er al weer uitgesloopt). Kan je het zelf niet uitzetten, dan zal je de escapes er zelf weer af moeten halen met stripslashes().

Bij het uitvoeren van een query (welke query dan ook) waar je gegevens in gebruikt afkomstig van de gebruiker zal je de input veilig moeten maken. Dat kan op veel manieren, het meest gebruikte is door problematische invoer te escapen. Maak je gebruik van mysql functies (die deprecated zijn, niet depreciated, dat betekent iets anders) dan kan dat met mysql_real_escape_string. Maak je gebruik van mysqli dan kan dat met mysqli_real_escape_string. Dit zorgt ervoor dat bepaalde karakters die tot sql injectie zouden kunnen leiden onschadelijk worden gemaakt.

Als je zowel bij invoer, als bij het uitlezen ervoor zorgt dat magic quotes ofwel uitstaat, ofwel ongedaan wordt gemaakt en als je ervoor zorgt dat gebruikers input wordt beveiligd dan kan je gewoon een tekst als "van 't Veld" invoeren en weer terugvinden.

Bedankt voor je reactie.

Ik 'vervuil' de data toch niet, er staat immers al een \ voor de apostrof in de database en het enige wat ik doen is ervoor te zorgen dat er ook weer een slash komt voor de apostrof welke ik gebruik bij de SELECT query.

Wat wijzigt er dan precies in dit geval als ik magic_quotes_gpc op OFF zet?

Ik kan toch geen mysqli_real_escape_string() gebruiken als ik nog verbinding maakt op de 'oude' manier?

Arie Kant op 29/04/2014 10:30:30

... dan komt er in de database "van \'t Veld" te staan.

Tot zover correct dacht ik.

Lijkt mij van niet.
Haal ook een stripslashes() over de input voordat het de database in gaat.

"Ik 'vervuil' de data toch niet, er staat immers al een \ voor de apostrof in de database"

Die \ is nu net de vervuiling.
Die \ had niet in de database moeten staan.

Verwar trouwens niet de \ uit

INSERT INTO naam VALUES ('in \'t Veld')

met "er staat een \ in de database". Die \ komt namelijk niet in je database terecht.

Komt die er wel in, dan was je query

INSERT INTO naam VALUES ('in \\\'t Veld')

Bedankt iedereen voor de snelle hulp!

Ik heb nu via htaccess de magic quotes uitgezet en wou voor de duidelijkheid de website waar nog op de oude manier gewerkt wordt, omzetten naar mysqli.

Helaas krijg ik een foutmelding :

Fatal error: Call to a member function query() on a non-object in xxx on line 63

Op regel 63 staat:

$mysqli->query("INSERT INTO adres (postcode, huisnummer, toevoeging, straat, woonplaats)
VALUES ('$postcode', '$huisnummer', '$toevoeging', '$straat', '$woonplaats')");

Enig idee wat daar fout gaat?

Een paar regels daarboven heb ik een soortgelijke query en die geeft geen melding:

$mysqli->query("INSERT INTO client (voorletters, voorvoegsel, achternaam, geslacht)
VALUES ('$voorletters', '$tussenvoegsel', '$achternaam', '$geslacht')");

Kan je wat meer relevante code tonen?

<?php
// Connect naar database
$con = mysqli_connect("localhost","user","wachtwoord","database");
if (mysqli_connect_errno()) {
echo "Probleem met verbinding maken met de database: " . mysqli_connect_error();
}

// Toevoegen aan tabel adres
$postcode = mysqli_real_escape_string($con, strtoupper($_POST["postcode"]));
$huisnummer = mysqli_real_escape_string($con, $_POST["huisnummer"]);
$toevoeging = mysqli_real_escape_string($con, strtoupper($_POST["toevoeging"]));
$straat = mysqli_real_escape_string($con, $_POST["street"]);
$woonplaats = mysqli_real_escape_string($con, strtoupper($_POST["city"]));

$geslacht= $_POST["geslacht"];
$voorletters = mysqli_real_escape_string($con, $_POST["voorletters"]);
$tussenvoegsel = mysqli_real_escape_string($con, $_POST["tussenvoegsel"]);
$achternaam = mysqli_real_escape_string($con, $_POST["achternaam"]);
$geboortedatum = mysqli_real_escape_string($con, $_POST["geboortedatum"]);
$geboortedatum_mysql = substr($geboortedatum, 6, 4) . "-" . substr($geboortedatum, 3, 2) . "-" . substr($geboortedatum, 0, 2);

$sql = "SELECT * FROM adres WHERE postcode = '" . $postcode . "' AND huisnummer = '" . $huisnummer . "' AND toevoeging = '" . $toevoeging . "'";
$result = mysqli_query($con, $sql) or die(mysql_error());

if (mysqli_num_rows($result) > 0) { // Bestaand adres --> ID achterhalen en gebruiken in tabel client
$row = mysqli_fetch_assoc($result);
$adres_lastID = $row['ID'];

// Toevoegen aan tabel client
$sql = "SELECT * FROM client WHERE achternaam = '" . $achternaam . "' AND geboortedatum = '" . $geboortedatum_mysql . "' AND ID_adres = '" . $adres_lastID . "'";
$result = mysqli_query($con, $sql) or die(mysql_error());

if (mysqli_num_rows($result) > 0) { // Bestaand record --> ID achterhalen en gebruiken in tabel aanvragen
$row = mysqli_fetch_assoc($result);
$client_lastID = $row['ID'];
} else { // Nieuw record --> toevoegen aan tabel client
$mysqli->query("INSERT INTO client (ID_adres, voorletters, voorvoegsel, achternaam, geslacht, geboortedatum, datum) VALUES ('$adres_lastID', '$voorletters', '$tussenvoegsel', '$achternaam', '$geslacht', '$geboortedatum_mysql', NOW())");
$client_lastID = mysqli_insert_id();
}

} else { // Nieuw adres --> toevoegen aan tabel adres
$postcode_land = substr ($postcode, 0, 2);
if ($postcode_land == 'BE') {
$land = 'BE';
} elseif ($postcode_land == 'DE') {
$land = 'DE';
} else {
$land = 'NL';
}

$mysqli->query("INSERT INTO adres (postcode, huisnummer, toevoeging, straat, woonplaats, land, datum)
VALUES ('$postcode',
'$huisnummer',
'$toevoeging',
'$straat',
'$woonplaats',
'$land',
NOW())");
$adres_lastID = mysqli_insert_id();

// Bij NIEUW adres ook ALTIJD de client toevoegen

$mysqli->query("INSERT INTO client (ID_adres, voorletters, voorvoegsel, achternaam, geslacht, geboortedatum, datum) VALUES ('$adres_lastID', '$voorletters', '$tussenvoegsel', '$achternaam', '$geslacht', '$geboortedatum_mysql', NOW())");
$client_lastID = mysqli_insert_id();
}

// Toevoegen aan tabel email
$email = mysqli_real_escape_string($con, strtolower($_POST["email"]));

$sql = "SELECT * FROM email WHERE email = '" . $email . "' ";
$result = mysqli_query($con, $sql) or die(mysql_error());

if (mysqli_num_rows($result) > 0) { // Bestaand e-mail adres --> niets toevoegen
} else { // Nieuw e-mail adres --> toevoegen aan tabel email
$mysqli->query("INSERT INTO email (ID_client, email, datum) VALUES ('$client_lastID', '$email', NOW())");
}

// Toevoegen aan tabel telefoon
$telefoon = mysqli_real_escape_string($con, strtolower($_POST["telefoon"]));

$sql = "SELECT * FROM telefoon WHERE telefoon = '" . $telefoon . "' ";
$result = mysqli_query($con, $sql) or die(mysql_error());

if (mysqli_num_rows($result) > 0) { // Bestaand telefoonnummer --> niets toevoegen
} else { // Nieuw telefoonnummer --> toevoegen aan tabel telefoon
$mysqli->query("INSERT INTO telefoon (ID_client, telefoon, datum) VALUES '$client_lastID', '$telefoon', NOW())");
}

// Toevoegen aan tabel aanvragen
$ip = $_SERVER['REMOTE_ADDR'];

$mysqli->query("INSERT INTO aanvragen (ID_client, product, email, ip, datum)
VALUES ('$client_lastID',
'$product',
'$email',
'$ip',
NOW())");
$aanvraag_lastID = mysqli_insert_id();

mysqli_close($con);

?>

[size=xsmall]Toevoeging op 29/04/2014 15:51:27:[/size]

Hij geeft dan de foutmelding op regel 51 (INSERT INTO adres)

Niet verwonderlijk als je procedueel (mysqli_query()) met object-oriented ($mysqli->query) met elkaar mengt.
Kies een van beiden.

gebruikt ofwel de procedurele manier van werken, zoals bovenin je script,

ofwel de oop manier, van regel 51.

Niet door elkaar heen.

Ik zou, gezien de rest van je script, op regel 51 mysqli_query() gebruiken...