0
var comma = ",";
var querys = "insert into movie values ("
+ "'" + movid + "'"
+comma
+ "'" + name + "'"
+ comma
+ "'" + genere + "'"
+ comma
+ "'" + director + "'"
+ comma
+ "'" + description + "'"
+ ")";
我遇到了關於代碼的問題。我正在用express.js和mysql構建一個網站,用戶可以在該網站上向該網站提交新電影。在mysql中使用單引號時出錯
用戶提交的大部分描述都只有一個(例如:這部電影沒有在工作室拍攝)。像這樣的句子給出了一個錯誤。 我曾嘗試使用逗號作爲變量,也是「'」像這樣。
任何解決方案? 我不能讓用戶使用\',因爲他們大多數人都不知道。
當然有一種方法可以使用SQL參數,而不是像這樣連接字符串?這是一個等待發生的SQL注入攻擊。 – David