0

我使用 mysqli_real_escape_string 清理帖子数据。那么,我是否也应该将 addcslashes() 应用于 SQL LIKE 子句中使用的变量?

[我知道使用准备好的语句可能会否定这个讨论。]

4

1 回答 1

0

如果你不能使用准备好的语句(总是一个不错的选择) - 据我所知,最好也像通配符一样转义 mysql:

addcslashes($param, '%_');
于 2012-08-06T13:33:33.183 回答