addslashes לא הפקודה המתאימה
הדרך הנכונה לעשות את זה:
אם מקבלים את הנתון (כמו שבד"כ מטופס) אז: if (get_magic_quotes_gpc()) { $txt = stripslashes($_GET['text']); // or $_POST, or whatever } else { $txt = $_GET['text']; // same as above } $txt = mysql_escape_string($txt); mysql_query("UPDATE sometable SET the_text='{$txt}';"); לדוגמה...
הפונקציה mysql_escape_string עושה את העבודה בדיוק כמו ש-MySQL מצפה שהיא תעשה את זה. addslashes יכול לעבוד בצורה שונה ממש שצריך, ולא תמיד תוסיף / לפני " או לפני ' (בהתאם לתצורה)
