如何在pdo中转义字符串?

时间:2013-02-26 14:34:40

标签: php mysql pdo

我想知道如何在pdo中转义字符串。 我一直在逃避弹簧,如下面的代码,但现在用pdo我不知道该怎么做

$username=(isset($_POST['username']))? trim($_POST['username']): '';
$previlage =(isset($_GET['previlage']));
$query ="SELECT * FROM site_user 
WHERE username = '".mysql_real_escape_string($_SESSION['username'])."' AND  previlage ='Admin'";
$security = mysql_query($query)or die (mysql_error($con));
$count = mysql_num_rows($security);

2 个答案:

答案 0 :(得分:22)

嗯,您可以使用PDO::quote,但正如其自己的文档中所述......

  

如果您正在使用此函数来构建SQL语句,那么您就是   强烈建议使用PDO::prepare()来准备SQL语句   使用绑定参数而不是使用PDO :: quote()进行插值   用户输入到SQL语句中。

在您的情况下,它看起来像这样:

$query = "SELECT * 
            FROM site_user 
           WHERE username = :username AND previlage = 'Admin'";
$sth   = $dbh->prepare($query);
$sth->execute(array(':username' => $_SESSION['username']) );

答案 1 :(得分:3)

mysql_*功能在PDO中不起作用。为什么?因为PDO不使用mysql连接到数据库,所以就输入清理而言,PDO使用预处理语句,你可以在这里找到一个很好的教程:pdo