php Beveiliging werkt niet..

Hallo allemaal,

Om invoer van gebruikers zelf te beveiligen gebruik ik dit:

<?php

$Blaat = htmlspecialchars($_POST['shit']);
// of
$blaat = mysql_real_escape_string($_POST['shit']);
//of 
$blaat = addslashes($_POST['shit']);

?>

Alleen niks werkt als ik als invoer dit heb " ' " (Wat tussen de " " staat.) Dus nu dacht ik, licht dat nou aan de instellingen in de httpd.conf of doe ik wat verkeerd?

(De server waar het op draait is gewoon locaalhost. Dus als het daar aan licht kan ik dingen veranderen, vertel er dan wel bij wat.)

Mvg. Thomas

Zowieso magic_quotes altijd uit zetten, anders kom je in de narigheid als je wilt migreren naar een server waar die instelling anders staat dan op je oude server.

Verder als je het ín je database stopt:
mysql_real_escape_string(trim($var));

als je het eruit haalt:
htmlentities($var);

sommigen zweren bij htmlspecialchars($var), maar die verandert é niet in é, ö niet in ö enzovoort, dus /me prefereert htmlentities($var) .

waar zet ik magic_wquotes uit?

Je hebt deze data:
hoi it's me
dan doe je mysql_real_escape_string() in je query:
INSERT INTO blaat VALUES ( 'hoi it\'s me' )
dan staat het zo in je db:
hoi it's me
dus hoef je geen stripslashes() meer.