Du skal undslippe de strenge, du sender i dine SQL-forespørgsler.
Til det kan du bruge mysql_real_escape_string
funktion.
For eksempel kan din kode se sådan ud (ikke testet, men noget som dette burde gøre tricket) :
$str = "abcd'efh";
$sql_query = "insert into my_table (my_field) values ('"
. mysql_real_escape_string($str)
. "')";
$result = mysql_query($sql_query);
En anden løsning (Vil dog kræve mere arbejde, da du bliver nødt til at ændre mere kode) ville være at bruge forberedte erklæringer; enten med mysqli_*
eller BOB
-- men ikke muligt med den gamle mysql_* udvidelse.
Rediger: hvis dette ikke virker, kan du så redigere dit spørgsmål for at give os flere oplysninger? Ligesom det stykke kode, der forårsager fejlen?