为 sql 插入、更新转义字符串的最佳方法是什么?
我想允许特殊字符,包括 ' 和 "。在插入语句中使用它之前搜索和替换每个字符串的最佳方法是什么?
谢谢
Bruno43
问问题
7934 次
2 回答
5
您应该使用参数化查询(因此通过扩展,支持参数化查询的 DB 接口库),这样 SQL 注入就不会发生。
于 2009-03-11T02:42:05.330 回答
4
如果您正在谈论字段的数据值,那么最好的方法是使用mysql_real_escape_string()。(有些人喜欢mysqli;不能说我喜欢。)如果您正在谈论允许用户提交的查询......好吧,希望您不是在谈论这个。
于 2009-03-11T02:26:35.333 回答