转义sql插入字符串的最佳方法是什么?

StackOverflow https://stackoverflow.com/questions/633109

为sql插入,更新转义字符串的最佳方法是什么?

我想允许包含'和'的特殊字符。在我在insert语句中使用它之前,搜索和替换每个字符串的最佳方法是什么?

由于

重复:防范的最佳方式反对mysql注入和跨站点脚本

有帮助吗?

解决方案

您应该使用参数化查询(因此扩展名为支持参数化查询的数据库接口库),以便不会发生SQL注入。

其他提示

如果您正在讨论字段的数据值,那么最好的方法是使用 mysql_real_escape_string()。 (有些人喜欢 mysqli ;不能说我这样做。)如果你在谈论允许用户 - 提交的查询......好吧,我们希望你不要谈论这个。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top