Witam,
nie wiem jak właściwie zatytułować mój problem, ale mam nadzieję, że rozwinięcie wszystko wyjaśni.
Mianowicie utworzyłem system dodawania tekstu za pomocą pól tekstowych <textarea>. Owy tekst normalnie jest przesyłany metodą POST, lecz problem pojawia się gdy interpreter php otrzymuje polecenie dodania ww. tekstu do bazy danych MySQL:

[PHP] pobierz, plaintext 
$tekst = $_POST['tekst'];
 
$dodaj = @mysql_query("INSERT INTO moja_baza SET tresc=\"$tekst\"");
 
if($dodaj) echo "Dziękujemy za dodanie tekstu.";
    else echo "Błąd! ";
 
[PHP] pobierz, plaintext 

W takim przypadku, jeżeli do formularza wpisze się cudzysłów zostaje przerwany kod i pojawia się "Błąd!", co rozumiem, gdyż interpreter może wtedy uznać zmienną $tekst za zamknięcie funkcji mysql. Jednakże zastanawiam się jak wyeliminować taką niedogodność. Nie chciałbym użytkownikom mojej strony kazać wpisywać w formularz \" zamiast normalnego cudzysłowu.
Próbowałem już zamienić cudzysłowy na apostrofy, ale wtedy automatycznie występuje niemożność wpisywania apostrofu w formularzu.

Czy jest jakaś możliwość, aby udostępnić w tej sytuacji swobodne wpisywanie cudzysłowów oraz apostrofów?

Pozdrawiam

Tak, użyj: htmlspecialchars();
http://php.net/manual/en/function.htmlspecialchars.php

Dodatkowo, powinieneś, a nawet musisz użyć: mysql_real_escape_string() http://php.net/manual/en/function.mysql-re...cape-string.php

[PHP] pobierz, plaintext 
$tekst = str_replace(Array("'","\\"), Array(' & rsquo ;','& #92 ;'), $tekst);
$dodaj = @mysql_query("INSERT INTO moja_baza SET tresc='$tekst'");
[PHP] pobierz, plaintext 

Z tego : "' & rsquo ;','& #92 ;'" - usuń spacje, bo nie moge coś na forum tego wstawić.

@up Twój kod nadal pozwala na położenie zarówno mysql, jak i php poprzez zwykłe """

' - czyli apostrof zapisany jako encja to &apos; a nie & rsquo;
" - zapisujemy jako & quot;

[PHP] pobierz, plaintext 
#
$tekst = $_POST['tekst'];
#
 
#
$dodaj = @mysql_query('INSERT INTO moja_baza SET tresc='.htmlentities($tekst));
#
 
#
if($dodaj) echo "Dziękujemy za dodanie tekstu.";
#
else echo "Błąd! ";
[PHP] pobierz, plaintext 

Dodawanie \ jest spowodowane włączeniem magic_quotes, jeśli masz ten mechanizm włączony nie musisz używać mysql_real_escape_string (bo jego użycie spowoduje ododanie \ do " a pożniej jeszcze magic_quotes to zrobi).
Zamiast tego wpisz tak jak ci napisałem wtedy htmlenties zamieni znaki takie jak <,>," itp na encje czyli &lt; a przeglądarka gdy otrzyma taki kod poprostu wyświetli odpowiadająca im encje a nie wykona polecenia, dodatkowo do bazy danych zapisz się kod z encjami.

No to na starcie niech sprawdzi czy magic-qoutes włączone czy nie get_magic_quotes_runtime i get_magic_quotes_gpc i od tego uzależnia mysql_real_escape_string. O ile w przypadku textarea problemu nie będzie, to jednak już input type="text" zrobi jazdę, bo realescape robi znaki ucieczki przed znakami, a nazwy w input przechodzą jako value i dostaniesz value="Nazwa w \"takich\" apostrofach" co wysypie Ci wyświetlanie tego. W kodzie strony będziesz wszystko widział, ale w inpucie obetnie Ci wszystko za " lub ' a jedyna metodą na ominięcie tego jest zakombinowanie z htmlentities i html_entities_decode. Sam przed chwilą ten sam problem miałem podczas walidacji formularza. Do bazy szło OK wszystko bezpiecznie, ale wyświetlenie przy Edycji lub podczas poprawiania błędów niestety było tym obarczone.

Dziękuję bardzo za pomoc.

Jak się okazało najprostszą oraz najkrótszą metodą (dla mnie) jest zastosowanie funkcji htmlspecialchars(); poleconej przez DiHa.

Próbowałem również stosować htmlentities, jednakże po użyciu owej funkcji, mimo wyeliminowania problemu wielokrotnego cudzysłowu, niepoprawnie były wyświetlane polskie znaki (krzaczki). To tyle tytułem podsumowania.
Jeszcze raz dziękuję i pozdrawiam serdecznie

jeżeli chcesz dodawać dane z post do zapytania powienieneś je zabezpieczyć przed mysql_injection.

strin mysql_real_escape_string($string, [$connection id]);

patrz: twoje zapytanie to:

INSERT INTO komentarze VALUES('$_POST["tekst"]');

A teraz ktoś ci wpisze w POST:

'); DELETE * from komentarze; INSERT INTO komentarze VALUES('

Z tego powstanie:

INSERT INTO komentarze VALUES(''); DELETE * from komentarze; INSERT INTO komentarze VALUES('');

Czyli raczej not nice.

Użycie tej funckcji zamieni ' na \'. Dzięki temu nie będzie dało się wykonać dowolnego polecenia w SQL

Dziękuję, że poruszyłeś temat SQL Injection.

Poczytałem trochę więcej o samych atakach, jak również o funkcji mysql_real_escape_string, jednakże nie jestem pewien czy dobrze zrozumiałem owe treści. Dlatego też chciałbym się dowiedzieć czy zastosowanie "transformacji":

[PHP] pobierz, plaintext 
$tekst = $_POST['tekst'];
 
$tekst2 = mysql_real_escape_string($tekst);
 
$dodaj = @mysql_query("INSERT INTO moja_baza SET tresc=\"$tekst2\"");
[PHP] pobierz, plaintext 

zapewni wysoki stopień bezpieczeństwa w stosunku do ataków SQL Injection ?

Ja używam przykładu z http://php.net/manual/en/function.mysql-re...cape-string.php, czyli na początku każdego skryptu php wstawiam:

[PHP] pobierz, plaintext 
  foreach ($_POST as $key => $value) { 
    $_POST[$key] = mysql_real_escape_string($value); 
  } 
 
  //This stops SQL Injection in GET vars 
  foreach ($_GET as $key => $value) { 
    $_GET[$key] = mysql_real_escape_string($value); 
  }
[PHP] pobierz, plaintext 

Do tego wyłączyć raportowanie błędów i będzie prawie bezpiecznie.