Question

这个让我难过。当我尝试将某些东西保存到包含撇号（'）的数据库时，它将保存到那时为止，之后它不会。例如;

说我想保存这个：报告详情蒂姆库克在Apple的变化，无论好坏更多»

它保存：报告详情蒂姆库克

它保存到数据库很好，但只保存在'

之前的所有内容

我的代码：

if(isset($_POST['submit']))
{
global $db, $db_table_prefix;


$origRLTitle = $_POST['RLTitle'];
$origRLURL = $_POST['RLURL'];
$origRLUserID = $_POST['user-id'];

$RLTitle = mysql_real_escape_string($origRLTitle);
$RLURL = mysql_real_escape_string($origRLURL);
$RLUserID = mysql_real_escape_string($origRLUserID);    


if(strlen($RLTitle)>0 && strlen($RLURL)>0 && strlen($RLUserID)>0)
{
mysql_connect($db_host, $db_user, $db_pass) or die(mysql_error());
mysql_select_db("sf") or die(mysql_error());
mysql_query("INSERT  INTO `ReadLater` (Title, URL, User_ID) VALUES ('".$RLTitle."', '".$RLURL."', '".$RLUserID."')");
echo "Saved";
}
}

为什么它可能无法妥善保存？我已经尝试了mysql_real_escape_string但是（如果我正确使用它）似乎不起作用。

旁注：保护上述表单免受攻击的最佳方法是什么？

更新它也是“也是”。

Answer 1

您需要在连接到数据库后致电mysql_real_escape_string() ：

if(isset($_POST['submit'])) { global $db, $db_table_prefix; $origRLTitle = $_POST['RLTitle']; $origRLURL = $_POST['RLURL']; $origRLUserID = $_POST['user-id']; mysql_connect($db_host, $db_user, $db_pass) or die(mysql_error()); mysql_select_db("sf") or die(mysql_error()); $RLTitle = mysql_real_escape_string($origRLTitle); $RLURL = mysql_real_escape_string($origRLURL); $RLUserID = mysql_real_escape_string($origRLUserID); if(strlen($RLTitle)>0 && strlen($RLURL)>0 && strlen($RLUserID)>0) { mysql_query("INSERT INTO `ReadLater` (Title, URL, User_ID) VALUES ('".$RLTitle."', '".$RLURL."', '".$RLUserID."')"); echo "Saved"; } }

Answer 2

更改

mysql_query("INSERT  INTO `ReadLater` (Title, URL, User_ID) VALUES ('".$RLTitle."', '".$RLURL."', '".$RLUserID."')");

到

$query = "INSERT  INTO `ReadLater` (Title, URL, User_ID) VALUES ('".$RLTitle."', '".$RLURL."', '".$RLUserID."')";
echo $query;
mysql_query($query);

并查看您发送的实际查询，然后轻松发现问题：）

MySQL之后没有保存句子'

2 个答案: