Przejrzyjmy każdą nazwę po kolei, unikając każdego.
Aby upewnić się, że dane rzeczywiście trafiają do zapytania, zalecam użycie rzeczywistej funkcji ucieczki MySQL, a nie tylko zawijania cudzysłowów. (W przeciwnym razie, jeśli wpiszę imię, takie jak It's me! , pojedynczy cytat zepsułby zapytanie.) Założę tutaj, że używasz PDO (co powinieneś!), ale jeśli nie, zamień odniesienia do PDO::quote z mysql_real_escape_string .
foreach($friendsArray as $key => $friend) {
$friendsArray[$key] = PDO::quote($friend);
}
$friendsArray2 = join(', ', $friendsArray);
