0

我有一个文本区域输入,我正在尝试发送到我的数据库

"istanbul'un kanayan yarası olan ulaşım, özellikle anadolu yakasından kartal'dan kadıköy'e ulaşımın neredeyse 2 saate varması yüzünden perişan. devletin de politikaları aşikar. 17 ağustos günü verilen söz tutulur mu merak ed."

文本。

它转到>

$bahisaciklamax = $_POST["bahisaciklama"];
$bbb=str_replace("\r\n", "<br />", $bahisaciklamax);
$bahisaciklama=strtolower(strip_tags($bbb, '<br><br /><br/><br />'));

并给出这个错误:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'un kanayan yarası olan ulaşım, özellikle anadolu yakasından kartal'dan kadıköy'e' at line 1

我该如何解决这个问题?

4

1 回答 1

4

您的代码容易发生SQL 注入。使用PDOMYSQLI

使用 PDO 扩展的示例:

<?php

    $dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
    $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
    $stmt->bindParam(1, $name);
    $stmt->bindParam(2, $value);

    // insert one row
    $name = 'one';
    $value = 1;
    $stmt->execute();

?>

这将允许您使用单引号插入记录。

于 2012-08-16T01:44:11.147 回答