爲什麼script send/n？

Question

源 -

控制器 -

Model::factory('index')->send_comment(mysql_real_escape_string($name), mysql_real_escape_string($artcl_id), mysql_real_escape_string($text), mysql_real_escape_string(time()), mysql_real_escape_string($ip)); 
         Model::factory('index')->update_comment_count($artcl_id); 

在此之前，$ _POST數據用裝飾檢查（）函數和$文本是修剪（$ _ POST [ '文本']）。

但是，當我寫評論 -

Hello! 

This is a comment! 

爲數據庫腳本發送

Hello!/n/nThis is a comment! 

鑑於 -

<?php echo htmlspecialchars(nl2br($comment['text'])); ?> 

哪裏錯了嗎？

Answer 1

假設上校彈片是正確的，你使用的數據庫模塊（ORM使用它，只是說）你不必花精力自己逃脫輸入。但是，如果您想將未轉義的輸入發送到數據庫，則必須花費能力。

參見Database::quote(),Database::quote_column(),Database::quote_identifier()和Database::quote_table()它們在整個數據庫模塊中使用。

PS。始終驗證輸入。

Answer 2

我假設它發送Hello!\n\nThis is a comment!並沒有錯誤。
一切進展順利