Собственно перед вставкой в базу обрабатываем переменную так: $var = $mysqli->real_escape_string($var); Как надо обрабатывать переменную при выводе из базы в форму? И при выводе на сайт как текст.
Смысл в том, чтобы при выводе весь HTML код, просто превратился в текст, который браузер не воспримет как HTML https://secure.php.net/manual/ru/function.htmlspecialchars.php
нет. А зачем? Его всё равно без преобразования в строку (JSON или serialize) в базу не вставить. Хотя, не знаю, что ты задумал, так что держи: PHP: $array = array_map(function ($e) use ($mysqli) { return $mysqli->real_escape_string($e); }, $array);
@rs_ssh, используй pdo. Там с этим по прощец, и можешь сразу передавать массив методу execute() --- Добавлено --- например: PHP: <?php /* Выполнение подготовленного запроса с передачей массива входных значений */ $calories = 150; $colour = 'red'; $sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < ? AND colour = ?'); $sth->execute(array($calories, $colour)); ?>