我通过PHP文本框获取数据,并使用普通的insert命令将其插入MysqL数据库.文本框向用户发送注释,以获取文本框旁边的特定入藏ID.问题是当用户输入撇号(‘)例如句子“我们必须照顾PC”时,会抛出错误.
我知道它为什么会发生,因为sql认为它是该值的字符串的结尾,但我不知道如何逃避它.我宁愿在MysqL中转义它.
如果我在MysqL中将其转义,即使没有生成错误并且插入工作正常,它仍然可以被用作sql注入?
解决方法:
使用mysql_real_escape_string(),或者更好的是,使用PDO的参数化查询.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
