标签: php mysql sql-like
我使用mysqli_real_escape_string清理帖子数据。那么,我是否也应该将addcslashes()应用于SQL LIKE子句中使用的变量?
[我明白使用准备好的陈述可能会否定这个讨论。]
答案 0 :(得分:0)
如果你不能使用预备语句(总是一个不错的选择) - 据我所知,最好像通配符那样逃避mysql:
addcslashes($param, '%_');