-1
可能重複:
Best way to stop SQL Injection in PHP插入 '和「到MySQL使用PHP
我試圖插入'符號和」使用PHP在MySQL表。但內容有這兩個跡象,我得到一個MySQL錯誤。
$comment="I like '''' it so ""much"" Jaan";
mysql_query("INSERT INTO `comments` (`id` ,`name` ,`date` ,`comment`) VALUES ('', '$name', '$date', '$comment')");
以上是一個例子。每當用戶插入'或「在他的評論問題開始。我知道關於mysql_real_escape_string(),但我不想用這個.bcz我的評論已經被過濾。請告訴我如何可以插入評論與這些語法。每一個建議都歡迎。
STOP閱讀[最佳辦法阻止SQL注入](http://stackoverflow.com/questions/60174/best-way-to- stop-sql -injection-in-php)問題解決了,忽略所有關於「逃跑」的建議 – 2011-07-08 16:51:59
你想開個釘子,但不想用錘子......除了建議使用額頭,我只能建議你唱出提供的工具。無論你如何過濾,你認爲你所做的事情可能是不夠的,mysql_real_escape_string()是** MySQL準備數據的官方方法。 –
實際上我也在考慮文件名的輸入,那裏有'或'可能存在,根據我的應用我不能更改文件名...所以如何輸入文件名 –