witam mój problem jest taki: mam formulaż który udostępnia możliwość dodania wpisu do bazy danych (komentarze) jednak jak użytkownik wpisze znak ' zapytanie sql się sypie, problem jest oczywisty:

[PHP] pobierz, plaintext 
<?php
 
$sql = 'INSERT INTO blablabla';
mysql_query($sql);
 
?>
[PHP] pobierz, plaintext 

w miejsce blablabla oczywiście są zmienne z formulaża a jak zawierają pechowy znak ' to php zapytanie sql myśli że to koniec parametru i się sypie. przykład:

[SQL] pobierz, plaintext 
INSERT 
INTO blabla VALUES (NULL, 'pole1', 'pole2', 'pole3', 'tresc oddzielona 'pechowym znakiem' problem jest oczywisty ;(')
[SQL] pobierz, plaintext 

jakieś pomysły ominięcia tego ?

addslashes i stripslashes?

Edit:

[PHP] pobierz, plaintext 
<?php
 
echo get_magic_quotes_gpc();		// 1
echo $_POST['lastname'];			// O'reilly
echo addslashes($_POST['lastname']); // O'reilly
 
if (!get_magic_quotes_gpc()) {
   $lastname = addslashes($_POST['lastname']);
} else {
   $lastname = $_POST['lastname'];
}
 
?>
[PHP] pobierz, plaintext 

kod z manuala

stripslashes odwraca efekt