这可能是一件常见的事情,但我有一个问题。允许使用撇号,同时仍保留mysql_real_escape_string()
标签。
我有这个:$name = stripslashes(mysql_real_escape_string($_POST['stadium_name']));
我对此进行了测试:
$getInfoX = mysql_fetch_array(mysql_query("SELECT * FROM `stadiums` WHERE `stadium_name` = '$stadium_name'")) or die(mysql_error());
我可以做一个示例注入类似x'; DROP TABLE members; --
或带有撇号Stade de l'Aube
的名称...但是带有撇号的名称给我一个错误,例如:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Aube'' at line 1
我该怎么办?