我一直在使用xml来解析。尽管我可以将数据很好地插入 mysql 数据库,但只要有撇号,我就无法接收。我在用
stringByAddingPercentEscapesUsingEncoding : NSUTF8StringEncoding
对于插入,它成功地将其放置为'。但是,当我尝试选择时,mysql 会感到困惑并没有回应就向我开枪。有没有办法在将撇号发送到数据库之前用可识别的东西替换撇号,然后在接收时将其解析回正确的格式?
user2276272
问问题
138 次
1 回答
3
你需要使用这个答案。你需要参数化你的 MySQL 查询,这样你就不会容易受到SQL 注入的攻击。
使用 PDO 的示例:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array(':name' => $name));
foreach ($stmt as $row) {
// do something with $row
}
使用 mysqli 的示例:
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
于 2013-04-13T00:55:20.243 回答