hi,

ich habe ein Formular mit einigen Textfeldern die ich an ein php script sende.

Aus den values der Textfelder soll eine mysql query gebaut werden.

Damit vom Benutzer eingegebene " bzw ' keine Fehler erzeugen escape ich sie so:
$foo = str_replace("'", "\\'", $_POST['foo']);

Wie kann ich alle " und ' in allen Elementen von $_POST escapen ohne das für alle Elemente einzeln zu machen?

http://php.net/manual/de/function.mysql-real-escape-string.php

bzw. überhaupt aus der StandardPHPLibrary die prepared statements nutzen ...;

mfg

tami