Om er zeker van te zijn dat de data die je opslaat in de database geen problemen veroorzaakt, zul je nog gebruik moeten maken van escaping. Maar wat is dat nu precies.

Nou, zoals je weet, zet je een string altijd tussen aanhalingstekens. Voorbeeld:


$haarkleur = 'Mindert zijn haarkleur is grijs';

Dit is prima php code.

Maar wat als je het zo noteert:


$haarkleur = 'Mindert's haarkleur is grijs';

Nu zal php erover struikelen. De ‘ achter Mindert is bedoeld om het bezit van de haarkleur aan te duiden. Alleen php zal het opvatten als het einde van de string.

Aangezien daarna nog volgt haarkleur is grijs’ zal php dit niet begrijpen en een foutmelding geven. Wil je nu in je string een aanhalingsteken gebruiken, dan dien je aan te geven dat dit aanhalingsteken onderdeel is van de string. Dit doe je als volgt:


$haarkleur = 'Mindert\'s haarkleur is grijs';

Met de backward slach (\) geef je aan dat het daarop volgende aanhalingsteken hoort bij de string. Php zal de \ verder niet tonen.

Voor de data uit de formulier kun je ook escaping toepassen met de mysqli_real_escape_string functie.

Hieronder zie je de database query met deze functie:


$sql = "INSERT INTO users (naam,leeftijd,club) VALUES(" ."'" .mysqli_real_escape_string($dbconnect,$naam). "','" .mysqli_real_escape_string($dbconnect,$leeftijd). "','" .mysqli_real_escape_string($dbconnect,$club). "')";