顯示文本區域內的多個線路使用mysql_real_escape_string

Question

我嘗試使用mysql_real_escape_string防止SQL注入將數據插入到數據庫之前之後：

$data=mysql_real_escape_string($_POST['data']); 

現在，數據存儲爲這樣：

That\\\'s an apostrophe.\r\n\r\nThis new line isn\\\'t displaying properly! 

所以，我試圖讓它正確地顯示在一個textarea裏面，然後將它從mysql中取出：

$data = nl2br($data); 

無論出於何種原因，這沒有什麼。我甚至試着用str_replace來代替\r\n' s，用<br>，但是<br>只顯示在textarea中。

如何獲得什麼在我的MySQL作爲顯示：

That's an apostrophe. 

This new line isn't displaying properly! 

Answer 1

你可能已經magic_quotes的開啓， 與檢查
回聲get_magic_quotes_gpc（） 否則你會雙引號

「設置magic_quotes的狀態用於GPC（Get/Post/Cookie）操作。當magic_quotes開啓時，所有'（單引號），「（雙引號），\（反斜槓）和NUL都會以backsla自動sh。 「

順便說一下，這不是一個好IDEIA使用magic_quotes的，請嘗試使用這個類的一個。

PDO http://br2.php.net/manual/en/book.pdo.php 或mysqli的http://br2.php.net/manual/en/book.mysqli.php

Answer 2

實際使用mysql_real_escape_string沒有充分保護你免受SQL Injection攻擊。

• 看到這裏SQL injection that gets around mysql_real_escape_string()

做的最好的方法是使用PDO或MySQLi。

• 看到這裏Best way to prevent SQL injection?

Answer 3

最好的解決方案..

$data= mysql_real_escape_string($_POST['data']);（你可以插入你的數據庫中，如果你想）

echo stripslashes(str_replace('\r\n',PHP_EOL,$data));（輸出完全符合你的輸入）