我有这个:
<?php
if( !empty($_SESSION['descr']) )
{
$descr = htmlentities($_SESSION['descr'], ENT_QUOTES | ENT_IGNORE,'utf-8' );
$descr = stripslashes($descr);
echo "<textarea cols=\"50\" rows=\"10\" name=\"descr\" >".$descr."</textarea>";
}
else
{
echo "<textarea cols=\"50\" rows=\"10\" name=\"descr\" ></textarea>";
}
?>
使用 ---ENT_IGNORE-- 工作但不安全我读过
问题是,如果用户输入撇号,则会出现错误:
您的 SQL 语法有错误;检查与您的 MySQL 服务器版本相对应的手册,以获取在 '" 附近使用的正确语法
它可以使用mysql_real_escape_string()
,但我想使用htmlentities()
.