0 
if($_SESSION['s_logged_n'] == 'true'){
    $server = $panel->real_escape_string($_GET['ip']);
    $dn = $panel->real_escape_string($_GET['newname']);
    $query = $panel->query(
        "UPDATE `Registered` SET `displayname` = '$dn' WHERE `owner`='".$_SESSION['s_username']."' AND `server`='$server'"
    );
}

以上是我正在使用的代码。$panel 是一个到数据库的连接,它可以工作。为了试图逃避引号,我已经花了好几个小时来处理这些东西。

4

1 回答 1

0

您现在没有使用mysqli_real_escape_string您正在使用real_escape_string属于对象的方法,$panel如果这只是另一个名称,mysqli_real_escape_string那么它不用于“剥离”引号,它用于进行合法的 SQL 查询。报价不是非法实体。str_replace()如果您想专门针对报价,我会简单地建议。

编辑

jeroen 在评论中击败了我:p

于 2013-01-27T02:25:02.583 回答