Fehler!You have an error in your SQL syntax near

[Uddi]

Hi Leute,
habe ein formular gebastelt zum editieren meiner news die in der datenbank gespeichert sind. Funktioniert auch alles soweit, aber immer wenn ich im Text ein ' verwende kommt folgende fehlermeldung, wenn ich das formular abschicke:

Fehler!You have an error in your SQL syntax near 'blablabla...' at line 1

mein PHP code sieht so aus:

$eintrag = $_POST['eintrag'];
$id = $_GET['id'];

$eintragen="update news set eintrag = '$eintrag' where id = '$id'";
@mysql_query($eintragen,$connect) or die ( "Fehler!".mysql_error() );

Wie krieg ich das weg?
Danke schonmal

 

[Tim C.]

$eintragen="UPDATE `news` SET `eintrag` = '".$eintrag."' WHERE `id` = ".$id;

Ich schätze mal $id ist numerisch. Deshalb muss es nicht in Singlequotes.

 

[Uddi]

Nein, daran liegt's leider nicht. Zumindest ändert es nichts. Wie gesagt es funktioniert ja sonst auch, nur eben nicht wenn ich ein ' im Text verwende ($eintrag)

 

[Gumbo]

Wie sieht's mit folgendem aus:

$eintragen="UPDATE `news` SET `eintrag` = '".htmlspecialchars($eintrag, ENT_QUOTES)."' WHERE `id` = ".$id;

 

[Uddi]

Juhu das funktioniert! Danke! Darf ich frage, was das bewirkt?

 

[Gumbo]

Hier möchte ich auf die htmlspecialchars-Funktionsdokumentation verweisen:
 ›› PHP: htmlspecialchars - Manual

 

[Uddi]

Danke! Allerdings wandelt das ja auch meine <BR>, die ich vorher aus den \n gemacht habe, damit in den News auch Zeilenumbrüche zusehen sind, um..

 

[Sven Petruschke]

Ich halte [phpf]mysql_escape_string[/phpf] für angebrachter!

 

[Uddi]

ja, aber macht er mir da nicht sonnen hässlichen Slash vor das Zeichen

 

[Sven Petruschke]

ja, aber macht er mir da nicht sonnen hässlichen Slash vor das Zeichen

Ja macht er - und zwar vor Singlequotes - das ist auch richtig so. in der Datenbank sind die Backslashes dann nicht mehr vorhanden.