سلام .این کد رو برای جلوگیری از injection استفاده کردم ولی درست جواب نمیده. اشکالش کجاست؟
<?php
//error_reporting(0);
$test=$_POST['S1'];
$con=mysql_connect("localhost","root","") or
die("could not connect to database");
mysql_select_db("test",$con) or
die("could not select database") ;
$query=sprintf("insert into test2 (name) values ('$test')",
mysql_real_escape_string($test))
or die(mysql_error());

mysql_query($query) or
die(mysql_error());

?>

addslashes(htmlspecialchars($test))


به این صورت می تونی استفاده کنی اگه باز هم بیشتر کمک خواستی بگو تا کد کامل بهت بدم

ممنون از کمکت، ولی بیشتر میخواستم بدونم چرا با وجود استفاده از mysql_real_escape_string هیچ اتفاقی نمی افته . اگه کد کامل اینم برام بذاری خیلی خوب میشه.

خوب تا زمانی که شما از test$ به جای s% در sprintf استفاده میکنید توقعی نباید داشته باشید.
خط زیر را پبدا و جایگزین کنید.



$query=sprintf("insert into test2 (name) values ('%s')",
mysql_real_escape_string($test));


موفق باشید