-1

我试过这样:

$desc = mysql_real_escape_string($_POST['description'][$i]);

然后尝试将变量$desc插入 MySQL 并且我尝试过:

'".mysql_real_escape_string($desc)."'

作为实际插入查询的一部分。两者都不起作用。

我得到1x10-10而不是1x10-10'松树。

一切都在第一个单引号处被切断。我什至尝试过:

$desc = mysql_real_escape_string("1x10-10' pine")`

看看会发生什么,并且与添加的斜线一起工作。

有什么建议么?

4

1 回答 1

3

看起来不是 mysql_real_escape_string 也不是 SQL,而是您的 HTML 负责该行为。

确保您使用htmlspecialcharswith ENT_QUOTESflag 打印标签属性。

于 2012-12-28T13:14:22.603 回答