0

我必须在我的数据库中插入一些字符串。

问题是每次我使用“`”或“'”都会导致Sql中的错误。

例如,当有人输入“that's great”时,它只会把一切都搞砸。

我该如何解决这个问题?

谢谢!

4

3 回答 3

2

使用真正的转义字符串函数。实际上,MySQL 会阻止 ' 或 ` 进入系统,以防止 SQL 注入攻击。

函数语法:mysql_real_escape_string($your_string)

于 2013-09-20T23:59:42.800 回答
1

使用 mysqli 转义字符串函数:http ://au1.php.net/manual/en/mysqli.real-escape-string.php (你不应该使用 mysql 函数,因为它们已被贬值)http://au1 .php.net/manual/en/function.mysql-real-escape-string.php

于 2013-09-20T23:45:18.813 回答
1

使用准备好的/参数化的查询。

手册:http ://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php

于 2013-09-20T23:53:14.803 回答