我必须在我的数据库中插入一些字符串。
问题是每次我使用“`”或“'”都会导致Sql中的错误。
例如,当有人输入“that's great”时,它只会把一切都搞砸。
我该如何解决这个问题?
谢谢!
问问题
1629 次
3 回答
2
使用真正的转义字符串函数。实际上,MySQL 会阻止 ' 或 ` 进入系统,以防止 SQL 注入攻击。
函数语法:mysql_real_escape_string($your_string)
于 2013-09-20T23:59:42.800 回答
1
使用 mysqli 转义字符串函数:http ://au1.php.net/manual/en/mysqli.real-escape-string.php (你不应该使用 mysql 函数,因为它们已被贬值)http://au1 .php.net/manual/en/function.mysql-real-escape-string.php
于 2013-09-20T23:45:18.813 回答
1
使用准备好的/参数化的查询。
手册:http ://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php
于 2013-09-20T23:53:14.803 回答