而是这样做:
$var1 = mysql_real_escape_string($_POST['1']);
$sql="INSERT INTO vartable (var)
VALUES ('$var1')";
我能这样做吗?
$var1 = $_POST['1'];
$sql="INSERT INTO vartable (var)
VALUES ('mysql_real_escape_string($var1)')";
它有效吗?
答案 0 :(得分:1)
是的,你可以像
一样使用它$sql="INSERT INTO vartable (var)
VALUES ('".mysql_real_escape_string($var1)."')";
注意:mysql_*已弃用用户mysqli_*或PDO