單引號導致更新SQL失敗

如果我有一個用戶的電子郵件地址作爲d'[email protected]我使用和addslashes使其d \'[email protected]，則以下SQL語句失敗。單引號導致更新SQL失敗

"UPDATE subscriptions SET sent = '1' WHERE email ='" . $email . "' Limit 1";

數據庫作爲電子郵件地址是d \'[email protected]。爲什麼UPDATE失敗？

2013-07-24 gtilflm

使用預準備語句和參數綁定完全避免了這類問題。 MySQLi和PDO擴展都提供了這種功能。 – Phil

UPDATE `subscriptions` SET `sent` = '1' WHERE `email` ='" . mysql_real_escape_string($email) . "' Limit 1";

注意使用mysql_real_escape_string：mysql_ *現在已經貶值。使用MySQLi

2013-07-24 23:41:45

你知道MySQL擴展已被棄用，對吧？看到[本頁頂部]的警告（http://www.php.net/manual/intro.mysql.php） – Phil

是的，壞習慣很難死。仍然試圖去適應它。 :) –

在添加查詢之前，總是總是轉義字符串。

"UPDATE subscriptions SET sent = '1' WHERE email ='" . $dbconn->real_escape_string($email) . "' Limit 1";

如果您使用原來的mysql的API，那麼你會在地方的$dbconn->real_escape_string

2013-07-24 23:37:56 Jasper

完全是我剛纔說的！ – pattyd

我寧願你說*「總是，總是使用準備好的語句和參數綁定」* – Phil

@Phil我的理解是，當你多次運行類似的查詢時，準備好的語句更有意義。還有什麼好處？ – Jasper

回答