problemer med bruk av variabler ved INSERT

[South_Bridge]

$tittel = $_POST['tittel'];
$tekst = $_POST['tekst'];
$dato = date("d/m/Y");

$query = "INSERT INTO news (type, title, msg, date, postby, ID) VALUES ('newspost', '$tittel', '$tekst', '$dato', 'South_Bridge')";
mysql_query($query) or die('INSERT error, insert query failed');

 

jeg får problemer når jeg ønsker å sette inn følgende informasjon, men av en grunn(tipper variablene) så får jeg ikke lov til dette? Jeg er relativt ny med php og mysql

[siDDis]

Fordi du må bygge det som en streng

 

INSERT INTO news (type, title, msg, date, postby, ID) VALUES ('newspost', '"+$tittel+"', '"+$tekst+"', '"+$dato+"', 'South_Bridge')"

 

Men før du setter dette i produksjon så bør du lære deg prepared statements for å forhindre SQL injections.

[South_Bridge]

Fordi du må bygge det som en streng

 

INSERT INTO news (type, title, msg, date, postby, ID) VALUES ('newspost', '"+$tittel+"', '"+$tekst+"', '"+$dato+"', 'South_Bridge')"

 

Men før du setter dette i produksjon så bør du lære deg prepared statements for å forhindre SQL injections.

 

 

siDDIs my man! kunne vel ikke tenke deg å gi meg en jump start engående den forhindringa? og det finnes ingen andre måter slik at det ikke blir sårbart?

[kaffenils]

Fordi du må bygge det som en streng

 

INSERT INTO news (type, title, msg, date, postby, ID) VALUES ('newspost', '"+$tittel+"', '"+$tekst+"', '"+$dato+"', 'South_Bridge')"

 

Men før du setter dette i produksjon så bør du lære deg prepared statements for å forhindre SQL injections.

 

Hvorfor ikke bare vise hvordan prepared statements settes opp da, i stedet for å vise et eksempel på veien til helvete.

 

Trådstarter, les http://devzone.zend.com/node/view/id/686#Heading11