m_r_e_s() RETURERER den escapede værdi, den ændrer ikke originalen.
$int = mysql_real_escape_string($_POST['int']);
$query = "UPDATE ... interests = '$int' ...";
Bemærk, at jeg har tilføjet anførselstegn omkring int
i POST-værdien. Uden anførselstegnene ser PHP det som en konstant værdi (f.eks. define()). Hvis den ikke finder en konstant for det navn, antager den høfligt, at du mente, at den skulle bruges som en streng og justere i overensstemmelse hermed, men udsender en advarsel. Hvis du havde gjort det
define('int', 'some totally wonky value');
tidligere, så ville du have adgang til den forkerte POST-værdi, fordi PHP ville se den som $_POST[some totally wonky value]
i stedet.