我有这个:
<?php
if( !empty($_SESSION['descr']) )
{
$descr = htmlentities($_SESSION['descr'], ENT_QUOTES | ENT_IGNORE,'utf-8' );
$descr = stripslashes($descr);
echo "<textarea cols=\"50\" rows=\"10\" name=\"descr\" >".$descr."</textarea>";
}
else
{
echo "<textarea cols=\"50\" rows=\"10\" name=\"descr\" ></textarea>";
}
?>
使用--- ENT_IGNORE--工作但不安全我阅读
问题是如果用户输入撇号,则会发出错误:
您的SQL语法有错误;检查与MySQL服务器版本对应的手册,以便在“
附近使用正确的语法
它使用mysql_real_escape_string()
,但我想使用htmlentities()
。