Probleme mit einer änderung in MYSQL

[Bilzebub]

Hi, ich hätt gern mal wieder ein Problem.
Folgenden Code habe ich erstellt:

mysql_query("
                        UPDATE 
                                `user` 
                        SET
                                signatur='".stripslashes($_POST['textfeld_signatur'])."'
                        WHERE        
                                id_user='".$_GET['id']."'
                       ") OR die mysql_error();

Unwichtige Zeilen habe ich rausgekürzt.
Mein Problem ist aktuell wenn ich nun ein ' in mein Textfeld schreibe bekomme ich eine Fehlermeldung! Aber irgendwie gibt es da doch einen "trick" ich weiss nicht nur nicht mehr wie^^ Ich hoffe ihr könnt mir helfen. Über weitere Tips, wie man weiteren eventuellen Eingabefehlern vorbeugen kann wäre ich ebenfalls dankbar!

 

[Flex]

[phpf]mysql_real_escape_string[/phpf] sollte dir da weiterhelfen.

 

[crsakawolf]

Hier eine Funktion, die dir alle HTML-Tags entfernt und auch alle Datenbankbasierten codes.

 public function MySQL-Text($var)
 {
  $var = strip_tags($var);
  $var = mysql_real_escape_string($var);
  return $var;
 }

 

[franz007]

@Bilzebub
Du solltest NIE Daten die vom User kommen direkt in ein SQL-Statement einbauen. Denn so sind Sql-Injections sehr einfach.

http://de.wikipedia.org/wiki/SQL-Injection

 

[Bilzebub]

hi,
es tut mir leid dass ich mich nun erst melde aber aktuell bin sehr eingespannt!
Erstmal vielen Dank für eure Ratschläge!
mysql_real_escape_string kommt mir bekannt vor... nun gut... nun weiß ich es auf jedenfall.
Ich werde es bei gelegenheit einbauen und testen.
@franz007: Super großes Danke! Das kannte ich noch gar nicht. Werde ich ab sofort drauf achten.
Wünsche noch eine gute nacht