Używam sprawdzenia w rejestracji:

[PHP] pobierz, plaintext 
                if(!preg_match("@^[a-zA-Z0-9_-]+$@",$login))
		{
			$flaga = false;
		}
[PHP] pobierz, plaintext 

używam zmiennej login w zapytaniu

[SQL] pobierz, plaintext 
$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE login = '$login'");
[SQL] pobierz, plaintext 

Jak wpisze w loginie string z apostrofem w liczbie pazystej wyskakuje:

[PHP] pobierz, plaintext 
Exception: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'd'dsd'' at line 1 in
[PHP] pobierz, plaintext 

Czy preg_match przepuszcza apostrofy czy czegoś nie rozumiem ? (Pewnie to drugie).

1) Na chwile obecna nigdzie nie sprawdzasz czy $flaga to true czy false.
2)
nie [a-zA-Z0-9_-]
a [a-zA-Z0-9_\-]
- to znak specjalny.

3) Dane wkladane to zapytania tak czy siak wypadaloby by ESCAPOWAC a juz najlepiej BINDowac.

preg_match nie jest dobrym narzędziem do filtrowania zmiennych zewnętrznych, które użyjesz w zapytaniu.
Poczytaj o trim, stripslashes, htmlspecialchars oraz wstrzykiwaniu szkodliwego zapytania SQL.

@emstawicki no z calym szacunkiem ale jest lepsze od funkcji ktore ty wymieniles.

Poprawnosc loginu jak najbardziej trzeba sprawdzac jak kazdych innych pol. Zas co do escapowania to juz napisalem czego sie powinno uzyc. Funkcje ktore wymieniles tutaj sa totalnie zbedne i nie temu sluza

Może się czepam ale nie jeśli występuje na końcu

@Pyton o widzisz

Czyli jeśli chce aby login zawierał a-z 0-9 i "_" i "-"
1. to mam nie używać preg_match czy mam użyć tych funkcji trim strip.. html.. i dodatkowo preg_match żeby wyodrębnić _ i - ?

zapomnij o tych trzech funkcjach co podal mstawicki. One nie do tego sluza.

preg_match jest jak najabrdziej ok. Tylko pytanie, czy ty to potem poprawnie uzywasz tej $flaga

tak używam poprawnie (tzn wszystko działa po za tymi apostrofami) bo nie chciałem stu linijek kodu wysyłać ogólnie sprawdzam flage tak:

[PHP] pobierz, plaintext 
if(isset($_POST['submit']))
	{
		$flaga = true;
                //Sprawdzanie poprawności loginu np. ile znaków
               ....
              if(!preg_match("@^[a-zA-Z0-9_\-]+$@",$login))
		{
			$flaga = false;
		}
//Sprawdzanie e-mail hasla
........
try{
			if($polaczenie->connect_errno != 0)
			{
				throw new Exception($polaczenie->mysqli_connect_errno());
			}else
			{
				//Sprawdzenie czy istnieje e-mail
				$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE email = '$email'");
 
				if(!$rezultat) throw new Exception($polaczenie->error);
 
				$ile_mail = $rezultat->num_rows;
				if($ile_mail > 0)
				{
					$flaga = false;
					$_SESSION['e_email'] = trans('key23');
				}
 
				//Czy istnieje taki Login
				$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE login = '$login'");
 
				if(!$rezultat) throw new Exception($polaczenie->error);
 
				$ile_login = $rezultat->num_rows;
				if($ile_login > 0)
				{
					$flaga = false;
					$_SESSION['e_login'] = trans('key24');
				}
 
				//Zapisywanie użytkownika do bazy
				if($flaga == true)
				{
					$data = date('Y-m-d H:i:s');
					if($polaczenie->query("INSERT INTO users VALUES (NULL, 1, '$login', '$haslo_hash', '$email', '$data', 50)"))
					{
						$_SESSION['komunikat'] = trans('key25');
						$_SESSION['kolor_kom'] = "succes";
						header('Location: '.linkGenerator('logowanie').'');
					}else
					{
						throw new Exception($polaczenie->error);
					}
				}
 
				$polaczenie->close();
			}
 
        }
[PHP] pobierz, plaintext 

ale co zrobić z tym apostrofem którego jak wpisze przy rejestracji wywołuje błąd oczywiści 2 apostrofy nie dają błędu.

Ja to rozumiem tak jakby preg_match apostrof przepuszczało i traktowało jako koniec stringa przy 2 apostrofach jest ok bo traktowany jako pusty tekst... (?)

Przeciez o to zapytanie
$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE login = '$login'");

odpalasz zawsze niezaleznie czy $flaga jesdt true czy nie :/ To zapytanie masz odpalac tylko gdy $flaga jest TRUE. Od samego poczatku o tym ci mowie.

A konkretnie gdy to
preg_match("@^[a-zA-Z0-9_\-]+$@",$login)
daje true bo $flaga w miedzyczasie utawiasz tez przy innej okazji.

Poza tym zaiteresuj sie BINDowaniem jak juz pisalem to nie bedziesz mial tak glupich bledow zapytan i twoj skrypt bedzie bezpieczny

ok, przerzuciłem sprawdzenie $flaga przed try i teraz dział bez błędów z '. Dzięki.

Dla pewności zapytam czyli preg_match jest bezpieczne w takiej formie czy ZAWSZE dodatkow w zapytaniach używać BINdowania ? Oczywiście zapomniałem już o tych funkcjach z 3 postu trim html.. itp

Tak, ZAWSZE masz uzywac bindowania. Bo jak kiedys zmienisz regule w preg_match - bo np. klient sobie zazyczy login z apostrofem, to na 100% zapomnisz ze masz niezabezpieczone zapytanie i beda bledy. Tak wiec lepiej wyrob sobie nawyk BINDowania.