一尘不染

插入期间的单引号(Mysql)

mysql

我正在通过PHP文本框获取数据,并使用普通的insert命令将其插入MySQL数据库。文本框在文本框旁为用户提供了有关特定登录ID的注释。问题在于,当用户输入撇号(’)例如句子“我们必须照顾好PC”时,会引发错误。

我知道为什么会这样,因为SQL会将其假定为该值的字符串结尾,但是我不知道如何对其进行转义。我希望在MYSQL中转义它。

如果我在MySQL中转义它,即使没有错误生成并且插入工作正常,它仍可以用作SQL注入吗?


阅读 215

收藏
2020-05-17

共1个答案

一尘不染

mysql_real_escape_string()PDO中使用或更好地使用参数化查询。

2020-05-17