Cita:
Iniciado por Kelpie 
Tienes dos opciones:
- "Escapar" la cadena para que se la coma tu base de datos.
- Parametrizar la consulta
En ambos casos depende del lenguaje y de la base de datos. El lenguaje es PHP, pero ¿la base?.
Por ejemplo, para MySql, tienes la función
mysql_real_escape_string() para lo del "escapado"...
Código PHP:
$sqt="UPDATE tabla SET pp = '".mysql_real_escape_string($variable)."'"
gracias kelpie
la DB es mySQL si..
voy a probarlo..
un saludo
por cierto me vendria mejor hacer
$variable = mysql_real_escape_string($_POST["pp"]);
UPDATE tabla SET pp = '$variable'
funcionaria?