插入（Mysql）期間的撇號

我通過PHP文本框獲取數據並使用普通插入命令將其插入MySQL數據庫。該文本框接受用戶對文本框旁邊的特定登錄ID的評論。問題是，當用戶輸入撇號（'）例如「我們必須照顧個人電腦」這句話時，會出現錯誤。插入（Mysql）期間的撇號

我知道爲什麼會發生這種情況，因爲SQL假定它是該值的字符串的結尾，但我不知道如何逃避它。我寧願在MYSQL中轉義它。

如果我在MySQL中逃避它，即使沒有錯誤產生，插入工作正常，它仍然可以作爲SQL注入利用？

2011-12-28 Ank

您應該使用參數。 – SLaks 2011-12-28 02:16:08

使用MySQLi準備好的語句 – 2014-06-29 12:39:24

使用mysql_real_escape_string()，或者更好的是，使用參數化查詢與PDO。

2011-12-28 02:13:43 alex

我該怎麼做如果我想在MySQL中而不是PHP中轉義它。 – Ank 2011-12-28 02:15:12

@Ankur：您正在爲查詢的上下文轉義它。在MySQL *中你不能逃避*，那時已經太晚了。 – alex 2011-12-28 02:16:00

或者我可以在MySQL中替換（'''，''）嗎？我真的不在乎撇號是否在字符串中。 – Ank 2011-12-28 02:18:29

2011-12-28 02:13:42

我該怎麼做如果我想在MySQL中而不是PHP中轉義它。 – Ank 2011-12-28 02:14:23

使用MySQLi準備聲明。

您可以輕鬆傳遞特殊字符，無需任何額外工作。

2014-06-29 12:38:41

回答