我刚发现是因为某人的姓氏中有',导致脚本在此之后没有更新任何内容。什么是使他们的姓氏对任何潜在破坏性角色安全的最佳方法?
答案 0 :(得分:2)
如果要嵌入SQL以在逻辑中将记录插入数据库,则应该使用预准备语句。除此之外,他们将为您正确地转义数据值(只要您始终如一地使用它们。)
答案 1 :(得分:0)
PHP有一个名为mysql_real_escape_string的函数,它应该清理所有顽皮的字符。
答案 2 :(得分:0)
你应该使用
print htmlentities("O'Brian",ENT_QUOTES);
在插入数据库之前,它会将字符串转换为
O'Brian
因此可以安全存储到数据库。请记住,此函数也会转义双引号。
有关escaping string的更多信息。