我已阅读了一些相关问题,但我仍然不明白。所以我决定在这里发一个问题。我有一个如下的查询
$query = "INSERT INTO Table (q1,q2,q3,q4....q25) VALUES ('".$_POST['Q1']."',
'".$_POST['Q2']."',
'".$_POST['Q3']."',
'".$_POST['Q4']."'.....)";
mysql_query($query);
$ _POST ['Qx']值是从允许人们输入评论的调查中获得的。通常人们会喜欢这样的词语“不要,不能,不要......”。将数据插入表时,撇号会导致问题。
我已阅读了一些建议
方法的文章mysql_real_escape_string($_POST['Q1'])
但我有25个问题,其中一些甚至还有子问题。所以我有大约70个数据输入到表中。
我可以采用哪种方法将撇号传递到MySQL表中?
答案 0 :(得分:6)
编辑:so I have around 70 data to input to the table.
对于for循环来说,70是“无”; - )
for($i=1; $i<71; $i++) {
$params[$i] = mysql_real_escape_string($_POST['Q'.$i], $link);
}
但您可能需要考虑redesign of your database tables。
您必须编码/转义参数。如果(已弃用)mysql扩展名为mysql_real_escape_string()
$link = mysql_connect(...);
...
$query = sprintf(
"
INSERT INTO
Table
(q1,q2,q3,q4....q25)
VALUES
('%s','%s' ...)
",
mysql_real_escape_string($_POST['Q1'], $link),
mysql_real_escape_string($_POST['Q2'], $link)
...
);
mysql_query($query, $link) or die(mysql_error($link));
但最好使用受支持的扩展程序,例如mysqli或pdo 并查看prepared statements。