Php 如何处理包含引号(等)的用户输入?
我有一个标准的文本输入字段。它从Php 如何处理包含引号(等)的用户输入?,php,mysql,odbc,Php,Mysql,Odbc,我有一个标准的文本输入字段。它从$\u POST中获取它的值,我使用它来构建一个SQL查询(ODBC,而不仅仅是MySQL,如果这有区别的话(或者实例,我不能使用MySQL\u escape\u string()) 我正在构建的查询在PHP上有单引号,在SQL上有双引号。例如: $sql = 'SELECT * FROM ' . $table . ' WHERE field="' . $_POST['some_field'] . '""; 如果用户在其输入中包含双引号,例如6“扳手,则在不平衡
$\u POST$sql = 'SELECT * FROM ' . $table . ' WHERE field="' . $_POST['some_field'] . '"";
6“扳手O'reillyaddslashes()更新:PHP手册中提到了神奇的引号 从PHP5.3.0开始,此功能已贬值。强烈不鼓励依赖此功能 (并不是说他们建议了一个替代方案;事实上,它还说在PHP6中会删除神奇的引号)
答案应该是使用准备好的语句吗?使用PDO。It ODBC使用PDO。It ODBC使用和喜欢PDO使用和喜欢PDO更容易…为什么不使用htmlspecialchars呢
我的意思是,它更快,我假设你给用户一个允许他们使用引号的数据字段的原因是因为你将在某个时候打印出数据。这仍然是可行的,而且你不必改变存储数据的位置。更简单……为什么不使用htmlspecialchars呢
我的意思是,它更快,我假设你给用户一个允许他们使用引号的数据字段的原因是因为你将在某个时候打印出数据。这仍然是可行的,而且你不必改变存储数据的位置。Magic quotes不受欢迎,因为它们在错误的时间做了错误的事情时间。它基本上是自动
addslashes()addslashesmysql\u escape\u string()mysql\u real\u escape\u string()addslashes()addslashesmysql\u escape\u string()mysql\u real\u escape\u string()