Który z poniżej pokazanych opcji wstawiania z formularzy danych do bazy mysql jest bardziej prawidłowa... ?
Dane z bazy wyciagam przez: stripslashes()


1 Opcja:

[PHP] pobierz, plaintext 
<?php
 
function FixQuotes ($what = &#092;"\") {
    $what = ereg_replace(&#092;"'\",\"''\",$what);
    while (eregi(&#092;"'\", $what)) {
    $what = ereg_replace(&#092;"'\",\"'\",$what);
    }
    return $what;
}
 
$autor = stripslashes(FixQuotes($autor));
$wstawil = stripslashes(FixQuotes($wstawil));
$tytul = stripslashes(FixQuotes($tytul));
$image = stripslashes(FixQuotes($image));
$opis = stripslashes(FixQuotes($opis));
$notes = stripslashes(FixQuotes($notes));
?>
[PHP] pobierz, plaintext 

2 Opcja:

[PHP] pobierz, plaintext 
<?php
$autor = addslashes($autor);
$wstawil = addslashes($wstawil);
$tytul = addslashes($tytul);
$image = addslashes($image);
$opis = addslashes($opis);
$notes = addslashes($notes);
?>
[PHP] pobierz, plaintext 

Nie wiem czy hest sens aż tak "bezpiecznego" przerzucania danych. Po pierwsze zalecałbym użycie array() jako containera. Samo zabezpieczenie danych przy wysyłaniu może być robione przez funkcję htmlspecialchars() z włączoną zamianą apostrofu i cudzysłowia na odpowiednie encje HTML.

to którego z tych 2 użyć:

addslashes()
czy
(htmlspecialchars() lub htmlentities() )

Która metoda jest lepsza i dlaczego ?

addslashes dodaje tylko slashe wiec jakies niepozadane znaczki ci zostana jesli wrzucisz do bazy, przy wyciaganiu stripslashes i moze dojsc do nieporzadanych rzaczow natomiast pozostale zamieniaja jakies taki dziwaczne znaczki na wyrazenia, na takie znaki z & na bezpieczne tak wiece nie przejda one chyba jako wykonywallne ? ale nie jestem pewien najlepiej to php.net

mysql_escape_string" title="Zobacz w manualu PHP" target="_manual

ta funkcja jest wg mnie ostatecznym rozwiązaniem dla każdego wstawiania do bazy (oczywiscie jesli chodzi o mysql ale inne bazy tez powinny miec odp. funkcje)